Wurm warnt vor sich selbst

Sober.K: 1400 Exemplare in drei Stunden

Der englische Managed-Service-Provider für die E-Mail-Sicherheit, Messagelabs, warnt vor einer neuen Version des Sober-Virus. „W32.Sober.K-mm“ ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzuzeigen, die sich genau auf die neue Version des Virus beziehen. Dadurch sollen User verleitet werden, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden.

Um das Schadprogramm auszuführen muss der Empfänger den E-Mail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung. Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen „csrr.exe“, „winlogon.exe“ und „smss.exe“. Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei „systemdrive%/windows/temp/doc_data-text.txt“ in Programm Notepad angezeigt.

„Sober.K“ ist ein Mass-Mailing-Virus, der sich selbst via E-Mail-Attachement verschickt. Der Virus wurde am heutigen Montag identifiziert und stammt aus Deutschland. Gleichzeitig tauchte „Sober.K“ laut Messagelabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1400 Exemplare des neuen Wurms ins Netz gegangen.

Themenseiten: Software, Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Wurm warnt vor sich selbst

Kommentar hinzufügen
  • Am 21. Februar 2005 um 13:38 von Verergert

    Sehr aktuell
    Diesen Wurm musste ich bereits am 3. Februar manuell enfernen:(
    Wieso dauert es so lange, bis ein Virus als solcher identifiziert wird?
    Übrigens:
    ich benutze kein IE und öffne keine Anhänge, wie kommt also der Mist auf den rechner?
    Bug im firefox?

    • Am 21. Februar 2005 um 18:52 von Torsten

      AW: Sehr aktuell
      Der Wurm verschickt sich per Mail und hat damit nix mit dem Browser (IE, Firefox, etc.) zu tun. Auch der Mail-Client (Outlook Express, Thunderbird, etc.) ist unwichtig.
      Einzige Voraussetzung: Du musst Windows haben und das Attachment ausführen…
      Mehr Infos auf http://www.freakincage.org

    • Am 21. Februar 2005 um 19:04 von Spavi

      und das beste Gegenmittel…
      … ist http://www.spavi.de, da kann man sein Postfach auf Spam und Viren durchsuchen lassen, wobei der Filter sämtliche Mails als gefährlich einstuft, die ein ausführbares Programm im Anhang haben. Auf diese Weise werden auch brandneue Viren entdeckt, die von Virenscannern noch gar nicht erkannt werden!

    • Am 23. Februar 2005 um 0:09 von Torsten

      AW: und das beste Gegenmittel…
      1) Wenn ich "gefährliche" Dateianhänge blocken will, muss ich Outlook nur in der Standard-Einstellung belassen. Das hat nix mit besonders intelligenter Virenerkennung zu tun, das ist ein pauschales Ausschlussverfahren.
      2)Wer einen privaten, einen dienstlichen, einen anomymen und einen Webmaster-Account für seinen Lieblings-Kegelverein hat, wird kaum für jeden Account seine Zugangsdaten auf deiner Seite eingeben wollen. Das ist zu umständlich.
      3) Wer ist spavi.de, das sich selbst ein Zertifikat ausstellt, dem ich meine Login-Daten für meine Mail-Konten anvertraue? Das kann doch eine regelrechte Einladung dazu sein, über meine Accounts Viren, Würmer, Trojaner und/oder Spam zu verbreiten. Kann, muss aber nicht. Im Zweifelsfalle für die Sicherheit. Nein danke, da muss ich abraten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *