Sober-Z macht sich mit Jauch und BKA breit

Neue Variante nutzt seit Stunden Angst und Gier der Empfänger aus

Mit einer Mischung aus Kriminalbeamten und Entertainern sorgt eine neue Sobervariante für erhöhten E-Mail-Traffic. Sober-Z alias W32.Sober.X@mm ist erstmals am heutigen Morgen gesichtet worden und hat sich bis zum Mittag weiter verbreitet. Er lockt mit deutschsprachigen Texten und nutzt Angst und Gier der Empfänger für seine Verbreitung: Wahlweise wird im E-Mail-Text eine Warnung des BKA wegen illegalen Filesharings oder eine Einladung zu Günter Jauchs Millionenschau vorgegaukelt.

Laut den Experten von Microworld hat die Betreffzeile einen der folgenden Inhalte:

Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde

Der E-Mail-Text taucht in folgenden Varianten auf:

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

Bei uns wurde ein neues Benutzerkonto mit dem Namen „Schnappi“ beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team

Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 114.138.230.67 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#2876 (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
— Bundeskriminalamt BKA
— Referat LS 2
— 65173 Wiesbaden
— Tel.: +49 (0)611 – 55 – 12331 oder
— Tel.: +49 (0)611 – 55 – 0

Wie immer ist die Absender-Adresse gefälscht. Empfänger der Mails sind E-Mail-Adressen, die auf infizierten PCs gefunden wurden. Die im Anhang verpackte „.exe“-Datei fügt wie schon frühere Sober-Varianten Einträge in der Registry hinzu und versucht Kontakt zu diversen Servern aufzunehmen. Außerdem wird die eigene Festplatte nach fremden E-Mail-Adressen durchforstet. Führende Antiviren-Spezialisten haben inzwischen Updates gegen Sober-Z bereit gestellt.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

16 Kommentare zu Sober-Z macht sich mit Jauch und BKA breit

Kommentar hinzufügen
  • Am 22. November 2005 um 15:15 von Karl Grossebner

    Konsequenzen
    Wieso kann man den Leuten, welche sowas verbreiten nicht auf die Schliche, sprich E-mail-Adresse kommen und sie irgendwie bestrafen.
    Ich habe 18!!! solcher E-mails schon gestern zwischen 21 und 21 Uhr 30 erhalten und keinen Anhang geöffnet.

    • Am 22. November 2005 um 21:47 von Peter

      AW: Konsequenzen
      genau das frage ich mich auch.In unserem hightech Zeitalter müsste es doch möglich sein, den Virenschreiber ausfindig zu machen..oder nicht? wir fliegen zum Mond und können einen Virenschreiber nicht stoppen?

    • Am 23. November 2005 um 0:29 von rebel66

      AW: AW: Konsequenzen
      Da fragt man sich doch, wollen diejenigen, die es technisch könnten überhaupt?
      Wer würde denn dann noch teure Virensoftware und dergleichen brauchen.
      Mit der Verunsicherung der Leute ließ sich schon immer gut Kasse machen!

    • Am 23. November 2005 um 0:38 von Jupp

      AW: AW: Konsequenzen
      <snip> wir fliegen zum Mond und können einen Virenschreiber nicht stoppen?
      </snip>
      Genau das hat mein Vater schon vor 30 Jahren gesagt: Wir fliegen zum Mond, aber keiner weiß, wessen Hund den Gehweg vollgeschissen hat
      Vater ist tot. Keiner fliegt mehr zum Mond. Stattdessen träumt Adolf W. Bush davon, zum Mars zu fliegen. Und währenddessen fliegen uns die Spam-Mails um die Ohren. Welch eine Welt.

    • Am 23. November 2005 um 6:36 von Herdentier

      AW: AW: Konsequenzen
      Pardong, aber wir fliegen schon lange nicht mehr zum Mond und angekommen sind dort oben auch nich alle !

    • Am 10. März 2006 um 11:33 von Dpl.Ing. Wolf Schwencke

      AW: AW: Konsequenzen
      weder Du noch ich fliegen zum Mond…
      Wolf

  • Am 22. November 2005 um 20:31 von xxx

    Ich habe nichts gesehen
    Bei mir ist nichts dergleichen angekommen. Höchstwahrscheinlich hat mein Spam- und Virenkiller alles automatisch beseitigt.

    Anmerkung der Redaktion: Die Werbung in diesem Feedback wurde entfernt

    • Am 23. November 2005 um 4:27 von Fritz Pinguin

      AW: Ich habe nichts gesehen
      Na? Endlich mal wieder eine Meldung gefunden, unter die deine Werbung passt? :-)

  • Am 22. November 2005 um 20:57 von ist-doch-egal

    Virenbenachrichtigung
    …und ich habe ca. 530 (fünfhundertdreizig) bounces erhalten.

    Welche Vollidioten lassen ihre mailserver immer noch jede Virenmail als Benachrichtigung an den fake-Absender retournieren ?

    PS: unsere Server und Clients sind alle sauber…, echte Virenmails trafen nur vereinzelt ein und wurden vom av-gate abgefangen.

    • Am 22. November 2005 um 22:12 von ist-doch-noch-mehr-egal

      AW: Virenbenachrichtigung
      na ja, dann bounce halt die bounces. ;)

    • Am 22. November 2005 um 23:56 von Fun

      AW: Virenbenachrichtigung
      Ich habe meinen Servern eine solche Antwort bei Vireninfektion beigebracht, insbesondere für Firmen ist es interessant, dass ihre E-Mail Adressen gefälscht werden. (Haftung und Kundenservice)

      Diese können dann reagieren, sei es über eine Warnung auf der Homepage (siehe BKA) oder mit einer Anzeige gegen den ursprünglichen Absender oder Virenprogrammierer.

      Mit wären 1000 Bounces lieber als eine fehlende Information, dass eine der verwendeten E-Mail Adressen missbraucht wird.

      Ab einer bestimmten Anzahl innerhalb einer defnierten Zeit werden eingehende Emails mit ähnlichem Inhalt sowieso ignoriert, also keine weiteren Autoreplys erzeugt.

      Wie man mit dem Problem umgeht bleibt natürlich jedem selbst überlassen.

    • Am 24. November 2005 um 16:57 von ist-doch-egal

      AW: AW: Virenbenachrichtigung
      bounces als rechtliche Absicherung ist mir neu. Halte ich auch nicht für wirksam (im juristischen Sinne). Als backinfo, dass gültige mailadressen meines Systems missbraucht werden, ist dies auch wenig interessant, da unsere mailadressen öffenlich bekannt sind, und damit jederzeit von jedermann missbraucht werden können (kommt glücklicherweise sehr selten vor).
      Die ‚From:‘-Info hat rechtlich keinerlei Bedeutung, sie ist wie die Absenderangabe auf einer Postkarte: eine Behauptung des Schreibenden ohne jegliche Beweiskraft.

      die mittlerweile mehr als 1500 Schrottmails (in drei Tagen) gehen fast ausschliesslich an ‚dummy‘-Adressen. Eigenartiger Weise sind der ‚Namensteil‘ (vor dem <at>) echt (alles reale von Personen aus unserem Geschäftsfeld), nur es wird unsere domain angehängt. Es wird also als Absender ein existierender Name frei mit einer existierenden domain verkettet. Das könnte auch vollständig sein, also alle Namen mit allen domains, dann gibst n * d falsche Adressen.
      Das ganze passiert in Schüben, die alle von jeweils einer dsl-dialin-Adresse kommen. Der bei einer stehende BinTEC-Router läßt sich mit vermutlich wenig Mühe knacken, wem der gehört ist mir bekannt, konnte den Betreffenden nur noch nicht erreichen.

      Lustig ist nur, dass weniger als zehn mails den Virus enthalten (es sind nicht nur bounces), viele aber einen Vermerk, eine Fa. Fortinet hätte den Anhang entfernt. Bei weiteren mails ist der Anhang dran, aber leer… (ich habe eine schöne Virensammlung, gut weggesperrt in einem stabilen Käfig, weiß also was ich tue)

      Wen soll ich denn jetzt angehen?
      Es ist nur selten möglich, den Nutzer hinter einer dialin-Adresse ohne Gerichtsbeschluss festzustellen. Und ein solcher dauert viel zu lange, bis dahin ist unsere Bandbreite vollständig mit Müll gesättigt.

    • Am 24. November 2005 um 17:06 von ist-doch-egal

      AW: AW: Virenbenachrichtigung
      würd ich gerne, siehe aber AW:na toll weiter unten…

  • Am 23. November 2005 um 12:31 von Wolf Schwencke

    Das System hat endlich die Deppen, die es immer haben wollte
    Ich bin doch nicht blöd,

    Grüsse, W.Schwencke, Ingaut.de

  • Am 23. November 2005 um 13:06 von tom-dade

    na toll
    na toll ! und darum bringe ich unserem spamfilter auf täglich neue wörter bei um diese schwachsinnigen benachrichtigungen "ihre mail war virenverseucht…" in die tonne zu klopfen.

    diese müll-benachrichtigungen irritieren und belästigen nur jeden user. mal davon abgesehen dass das durch viren verursachte mailaufkommen glatt verdoppelt wird.

    ne ne ne – solltest du nochmal überdenken, denn konsequent wäre es irgendwann mal diese hunderte von benachrichtigungen per script beantworten zu lassen mit dem text "will ich nicht !!!"

    • Am 24. November 2005 um 17:04 von ist-doch-egal

      AW: na toll
      Du hast das nicht verstanden, nicht wahr?
      Wie bitte sehr soll ich eine mail bouncen oder beantworten (script ist nicht das problem), deren Absender entweder gefälscht oder ein technischer ’no-respond‘-account ist?
      und mails an ‚postmaster@‘-mir-bekannte-wahre-quelldomain- mit dem Vermerk ‚mailbox existiert nicht‘ zurückkommt?

      nur am Rande: postmaster _muss_ für jede MX-domain existieren (RFC muss-ich-raussuchen), genau um solche Probleme lösen zu können…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *