Der Wurm-Code ist als Zip-Archiv, das eine ausführbare Datei enthält, an die E-Mail angehängt. Öffnet der User den Anhang, installiert sich der Wurm und infiziert den Rechner. Wie seine Vorgänger ist auch diese Sober-Variante zweisprachig und verfasst je nach Länderkennung der E-Mail-Adresse entweder deutsche oder englische Nachrichten.
Bisher sind folgende Betreffzeilen von Sober.P aufgetaucht:
- Re: Your Password
- Re: Registration Confirmation
- Re: Your email was blocked
- Re: mailing error
- FwD: Ihr Passwort
- FwD: Ihre E-Mail wurde verweigert
- FwD: Ich bin's, was zum lachen ;)
- FwD: Glueckwunsch: Ihr WM Ticket
- FwD: WM Ticket Verlosung
- FwD: WM-Ticket-Auslosung
Der Text des Virenmails lautet folgendermaßen:
Account and Password Information are attached!
Visit: http://www.
This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached Attachment-Scanner: Status OK,AntiVirus: No Virus found,Server-AntiVirus: No Virus (Clean)
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.
**** AntiVirus: Kein Virus gefunden **** "GMX" AntiVirus Service **** WebSite: http://www.gmx.de
Im Anhang ist eine der folgenden Dateien zu finden:
- mail_info.zip
- our_secret.zip
- Fifa_Info-Text.zip
- okTicket-info.zip
- free_PassWort-Info.zip
- LOL.zip
Als Absender-Adressen tauchen nach ZDNet-Recherchen unter anderem die fingierten Mail-Accounts "WM-Ticket@ok2006.de", "fifa@ok2006.de" sowie "Ticket@fifa.de" auf. Führende Antiviren-Spezialisten halten Updates gegen den Wurm bereit.
Sober.P breitet sich seit wenigen Stunden im Internet aus. (Screenshot: ZDNet)
Lesermeinungen zum Artikel