High Risk: Neuer Sober-Wurm verbreitet sich schnell

Seit wenigen Stunden verbreitet sich ein neuer Wurm namens Sober.H alias Sober.I rasant auch auf deutschen Rechnern. Norman hat jetzt eine Warnung vor dem neuen digitalen Schädling veröffentlicht, der als „High Risk“ eingestuft wird. Da er auch mit deutschen Betreffzeilen und Texten kommt, hat er hierzulande großes Verbreitungspozenzial.

Der Wurm ist in Visual Basic geschrieben und hat eine Länge von 56 Kilobytes. Er verbreitet sich über seine eigene SMTP-Engine, indem er Kopien an alle im Adressbuch vorhandenen E-Mail-Empfänger verschickt. Die Betreffzeilen enthalten gefälschte Fehlermeldungen, auch auf Deutsch. Unter anderem sind als Subjects bekannt:

• Re: Auftragsbestätigung
• Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407
• Registration confirmation
• Mailzustellung fehlgeschlagen -Damon: 4440
• Re: Lieferungs-Bescheid
• FwD: Mail_Delivery_failure
• Mailer Error -8900
• FwD: Mailer Error -Damon: 4639
• invalid mail
• Mail- Verbindung wurde abgebrochen -Code: 4358
• Ihre E-Mail wurde verweigert
• Re: Ihre neuen Account-Daten
• Mailer-Fehler -8362

Er steckt in E-Mail-Anhängen, die 15 verschiedene Namen tragen.

Nach der Aktivierung legt er sich im Windows-Systemverzeichnis ab. Außerdem installiert er so genannte Key Registries, die bei jedem Neustart des Rechners den Virus neu starten.

Seit Freitagmorgen verbreite sich der Wurm besonders in Deutschland und Österreich, aber auch weltweit. Inzwischen haben alle führenden Antiviren-Firmen Updates gegen den neuen Wurm bereit gestellt.

Update 18:00: Die Antiviren-Spezialisten von Bitdefender haben ein kostenloses Removal-Tool zum Entfernen des Sober.I-Wurms bereit gestellt. Das Tool finden Sie unten auf der verlinkten Seite.