Sober-Wurm: Erneut gefälschte BKA-Mails im Postfach

Taktik der Wurmversender offenbar weiterhin erfolgreich

Der Windows-Computerwurm Sober.Z alias W32.Sober.X@mm sorgt seit dem heutigen Morgen im deutschsprachigen Raum abermals für erhöhten E-Mail-Verkehr. Auch dieses Mal setzen die Versender auf den offenbar erfolgreichen Trick, um den Empfänger der Mail zum Öffnen des schädlichen Anhangs zu bewegen: Die Mail erscheint als mehr oder minder offiziell erscheinende Mitteilung des Bundeskriminalamts (BKA), dass ein Ermittlungsverfahren wegen des Herunterladens von illegalen Inhalten eingeleitet worden sei. Die im Anhang vermeintliche Akte enthält den Sober-Wurm, der sich, sobald die Datei vom verunsicherten Anwender ausgeführt wird, im System einnistet.

Diverse Antiviren-Hersteller stellen Betroffenen kostenlose Spezialprogramme zur Verfügung, die den Wurm vom System entfernen, darunter:

  • Sophos SOBRGUI Disinfector
  • Norman Virus Removal Tool
  • Symantec W32.Sober Removal Tool
  • McAfee Avert Stinger

Merkmale der gefälschten E-Mail:


Absender: Downloads@bka.bund.de

Betreff: Ermittlungsverfahren wurde eingeleitet

Anhang: Akte1464.zip

E-Mail-Text:

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 206.197.100.182 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#1464 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock

— Bundeskriminalamt BKA
— Referat LS 2
— 65173 Wiesbaden
— Tel.: +49 (0)611 – 55 – 12331 oder
— Tel.: +49 (0)611 – 55 – 0

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Sober-Wurm: Erneut gefälschte BKA-Mails im Postfach

Kommentar hinzufügen
  • Am 12. Mai 2007 um 12:28 von Frank Roppelt

    BKA-Mail
    Ich habe auche eine E-Mail bekommen Absender ist ein Herr Klein.Das man dagegen nichts machen kann.Gottseidank hat mein Antivierensystem den troyaner gleich herausgefildert.

  • Am 6. Mai 2007 um 11:36 von reiner

    Habe eins bekommen
    Sehr geehrter Internetnutzer,

    im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

    IP: 81.146.112.150

    Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
    Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

    Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

    Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

    Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
    Am Sportfeld 9c, 55124 Mainz
    Tel.: 06131 – 970738
    Fax: 06131 – 970731
    Mobil: 0171 – 7504699
    Mail: Hcklein51@aol.com

  • Am 1. Februar 2007 um 20:12 von Benedikt Klauser

    Absender:
    Der Absender ist bei mir jetzt Abteilung19558@bka.de gewesen.

  • Am 14. Dezember 2005 um 10:09 von Martin

    Link zum Stinger-Download ist falsch
    @zdnet:
    Der Link zum Stinger-Download ist falsch. Sollte wohl
    http://vil.nai.com/vil/stinger/
    lauten

    Schönen Gruß
    Martin

    • Am 14. Dezember 2005 um 13:36 von ZDNet Redaktion

      Vielen Dank
      Vielen Dank für die Korrektur – jetzt sollte der Link stimmen. :-)

      ZDNet Redaktion

  • Am 14. Dezember 2005 um 9:08 von The-Cry

    Entfernungsprogramm
    http://www.yes-xp.de/av-tool/index.html

    Sober V, X, Z Entfernungsprogramm

    Kostenloser Download

    Mit intergriertem auto-neustart in den abgesicherten Modus. Entfernt den Virus. Automatischer Neustart in den normalen Modus.

    HTH TC

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *