Thema: Neuer Sober-Wurm verbreitet sich schnell

[SiLæncer]

Seit heute morgen ist eine neue Variante des Mass-Mailing-Wurms Sober unterwegs, die sich mit hoher Geschwindigkeit verbreitet. Bislang erkennen ihn nur die wenigsten Virenscanner. Sober.I kommt als .com-, .bat, .scr- oder pif-Anhang in Mails, deren deutsche Betreffzeilen und Inhaltstexte stark variieren. Zudem tarnt er sich als unverdächtigte .doc-, xls- und txt-Datei, der man auf den ersten Blick nicht ansieht, dass dahinter eine ausführbare Datei steckt. Zusätzlich verschickt er sich von infizierten Windows-PCs als ZIP-Archiv. Weitere Einzelheiten zu dem Sober-Wurm sind bislang kaum verfügbar, H+BEDV hat eine rudimentäre Beschreibung auf seinen Seiten veröffentlicht.

Die Hersteller von Antivirensoftware arbeiten daran, Beschreibungen und neue Signaturen zur Verfügung zu stellen. Bis dahin sollten Anwender keine Anhänge in ihren Mails öffnen. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sie auf den Antiviren-Seiten von heise Security.

Update
Immer mehr Hersteller von Antivirensoftware haben reagiert und Signaturen bereit gestellt. Trend Micro, Panda Software, H+BEDV, F-Secure und Kaspersky erkennen den Wurm bereits. Symantec will seine Signaturen für den Live Update erst am 24. November aktualisieren. McAfee will seine Signaturen in Kürze veröffentlichen.

2. Update
Andreas Marx von AV-Test ( http://www.av-test.org/index.php3?lang=de ) hat heise Security die Ergebnisse seiner Tests zur Verfügung gestellt, welcher Scanner den Wurm schon erkennt (Stand 12 Uhr).

Antivir         Worm/Sober.I (exact)
Bitdefender     Win32.Sober.I@mm
Clamav          Worm.Sober.I
Command         W32/Sober.J@mm (exact)
Drweb           Win32.HLLM.Sober
Fortinet        -
F-prot          W32/Sober.J@mm
F-Secure        Sober.I
Ikarus          I-Worm.Sober.I
Inoculate-ino   -
Inoculate-vet   -
Kaspersky       I-Worm.Sober.i
Mcafee          -
Mcafee-beta     W32/Sober.j
Norman          Sober.H@mm
Panda           W32/Sober.I.worm
Panda-beta      W32/Sober.I.worm
Rav             -
Sophos          W32/Sober-I
Symantec        -
Symantec-beta   W32.Sober.I@mm
Trendmicro      WORM_SOBER.I
Trendmicro-beta WORM_SOBER.I
Virusbuster     I-Worm.Sober.I

Quelle : www.heise.de

[SiLæncer]

Auch hier ......

Neuer Sober-Wurm mit deutschen Texten verbreitet sich stark

Sober.I gibt sich als vermeintliche Fehlermeldung eines Mail-Servers aus

Mit Sober.I verbreitet sich nach einer längeren Ruhephase abermals eine Sober-Variante sehr schnell im Internet und überflutete in den vergangenen Stunden die E-Mail-Postfächer zahlreicher Nutzer. Der Wurm versendet sich unter anderem in einer als angebliche Mail-Server-Fehlermeldung getarnten E-Mail mit deutschsprachigem Betreff und Nachrichtentext. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, dessen Name aus einem Fundus an Bausteinen zusammengesetzt wird und die Endung .bat, .com, .exe, .pif, .scr oder .zip trägt. Durch entsprechend aufgemachte Betreffzeilen samt passender Nachrichtentexte vermittelt Sober.I unter anderem den Eindruck, dass es sich bei der E-Mail um eine Fehlermeldung eines Mail-Servers handele, um so potenzielle Opfer zum Öffnen der Anhänge zu bringen.

Die Betreffzeile kann etwa aus den folgenden Teilen bestehen:

Ungültige Zeichen in Ihrer E-Mail -SMTP
Mailzustellung fehlgeschlagen -Damon
FwD: Mail_Delivery_failure
Mailer Error
FwD: Mailer Error -Damon
invalid mail
Mail- Verbindung wurde abgebrochen -Code
Re: Lieferungs-Bescheid
Re: Auftragsbestätigung
Registration confirmation

Wird der E-Mail-Anhang manuell geöffnet, aktiviert dies den Wurm, der sich dann so in die Registry einträgt, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten.

Quelle : www.golem.de

[SiLæncer]

Auch vier Tage nach seinem ersten Auftreten ist die neue Wurmplage noch nicht gebannt. Sober.I hat am vergangenen Wochenende weiter krätig für Ärger gesorgt und macht auch aktuell noch immer 25 Prozent aller Viren-Reports aus, berichten die Experten von Sophos. Von einer Entlastung kann also keine Rede sein.

"Sober-I ist die größte neue Virus-Welle, die wir seit Monaten verzeichnen. Da es in der letzten Zeit in der Viren-Szene relativ ruhig geworden ist, kann es gut sein, dass Anwender weniger Augenmerk auf ihren Virenschutz gelegt haben. Dies kann zusätzlich zum zweifelhaften Erfolg von Sober beigetragen haben", meint Graham Cluley, Senior Technical Consultant bei Sophos.

Automatische Updates aktivieren

"Über das Wochenende ist allerdings klar geworden, dass noch immer nicht die Mehrheit der Anwender automatische Anti-Viren-Updates nutzen oder potenziell gefährliche E-Mail-Anhänge am Gateway blocken. Unternehmen werden sich der Notwendigkeit hochkarätiger Schutzmaßnahmen immer bewusster, denn sie werden regelrecht von verseuchten E-Mails bombardiert. Nicht selten kommen diese von infizierten Heim-PCs."

Quelle : www.onlinekosten.de

[Warpi]

gerade kam er an ...

/home/warpi/viren/daten.com  Infection: W32/Sober.J@mm
/home/warpi/viren/192dial-457209.com  Infection: W32/Sober.J@mm

der 1. als lieferungsbescheid . (anhang : daten.com)
der 2. als maillerfehler (anhang : 192dial-457209.com)

also vorsicht : .com ist eine alte msdos-kennung für ausführbare programme.
klappt wohl auch unter xp!

und der pinguin trank lachend eine tasse kaffee ...