Sober-Wurm--neue Variante



(übernommen von pctipp.ch Author: Sascha Zech)



Verhängnisvolles Klassentreffen

Meldung vom 06.10.2005



Zurzeit macht eine weitere Variante des Sober-Wurms die Runde. Sie weist in deutscher Sprache auf ein Klassentreffen hin und kommt mit einem angeblichen Klassenfoto im Anhang daher.

Die jüngste Version des Sober-Wurms verbreitet sich per E-Mail-Anhang. Sie verwendet einen gemeinen Trick, um die Nachricht möglichst plausibel erscheinen zu lassen und den Anwender so zum Öffnen des verseuchten Attachments zu bringen. Im Betreff-Feld verweist die E-Mail in deutscher oder englischer Sprache auf ein Klassentreffen. Der Nachrichtentext lautet folgendermassen:



«hi,

ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!

ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.

wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!



wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)



liebe grüße:

Nicole»



Das vermeintliche Klassenfoto ist in einer ZIP-Datei verpackt. Wird der Computerwurm ausgeführt, zeigt er laut Symantec eine Fehlermeldung an. Gleichzeitig legt er verschiedene Dateien im Systemordner ab und fügt einen Autostart-Eintrag in die Windows-Registry ein. Darüber hinaus sucht er auf der Festplatte nach E-Mail-Adressen und verschickt sich an diese.

Der Computerwurm läuft unter anderem unter den Bezeichnungen Sober.R, W32.Sober.Q@mm und W32/Sober-O. Nach der neuen Virenklassifizierung heisst der Schädling CME-151 .



Bei der aktuellen Sober-Variante handelt es sich aber nicht um den einzigen Computerwurm der momentan im Umlauf ist. Bei der PCtipp-Redaktion sind heute weitere Mails eingetroffen, die einen Schädling enthalten und in deutscher Sprache daher kommen.

Sie verwenden den Betreff «Bcc: Ich habe Ihre Mail erhalten!» und weisen darauf hin, dass die Nachricht an eine falsche Adresse verschickt worden sei. Auch sie führen ein angebliches Foto im Anhang mit sich, das in einer ZIP-Datei verpackt ist.

Sober-Wurm treibt weiter sein Unwesen

Meldung vom 25.11.2005 pctipp.ch von Sascha Zech

Die Massenmails mit der jüngsten Sober-Variante wollen und wollen nicht aufhören. Das Bundesamt für Sicherheit in der Informationstechnik (Schweiz) hat deshalb eine spezielle Warnung veröffentlicht und empfiehlt allen Anwendern ihren PC zu prüfen.
Seit Anfang Wochen trudeln in den virtuellen Postfächern immer wieder E-Mails mit Absendern und Betreffzeilen wie «Bundeskriminalamt», «RTL: Wer wird Millionaer» oder «SMTP Mail gescheitert» ein.
Sie enthalten neue Varianten des Sober-Wurms.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) verbreitet sich der Schädling weiterhin rasant. Zudem ist er gefährlich: Er verschickt sich nicht nur selbständig von infizierten PCs aus, sondern enthält auch mehrere Schadfunktionen. Gemäss BSI schaltet er Virenschutzprogramme ab und spioniert das System aus. Nach Angaben verschiedener Anti-Virenhersteller kann er zudem Dateien aus dem Internet herunterladen und ausführen.
Das BSI empfiehlt allen Anwendern, ihr System dringend mit den Viren-Entfernungsprogrammen von Symantec und/oder McAfee zu prüfen. Sie können kostenlos heruntergeladen werden.

Tool Symantec-link: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html

Tool McAfee-link:
http://vil.nai.com/vil/stinger/

Wenn die Büchse sauber ist, bringt Symantec dieses Fenster:

Danke Manni.
Kiste sauber, kein Untermieter.:lol:

oh ja schön - bei mir auch keine. :)

obwohl ich mir gestern wahrscheinlich einen ins haus hätte holen können.
hab ein mail mit dem anfang "sehr geehrter ebay kunde" bekommen....viel weiter bin ich beim lesen nicht gekommen, so schnell wollt ich das wieder loswerden...

Danke Manni.
Kiste sauber, kein Untermieter.:lol:
Gut so.
Man hat Glück wenn`s so bleibt. :thumbsup:

--------------------------
bei mir auch keine.
mail mit dem anfang "sehr geehrter ebay kunde" bekommen.
Richtig so!
Obskures oder Unbekanntes besser gleich abschiessen.
Sonn Ding öffnen und lesen geht wohl gerade noch, jedoch niemals angehängten Kram öffnen! :hey:

Sonn Ding öffnen und lesen geht wohl gerade noch, jedoch niemals angehängten Kram öffnen! :hey:

keine sorge - mach ich................fast nie...............
fast deshalb, weil manchmal sind's ja auch "kaiser-saves" vom manni. ;) :DD

aber im ernst:
"öffnen" - im vorschaufenster halt angucken. aber nachdem mir schon bekannt war, dass "sehr geehrter ebay kunde" ganz sicher NICHT von ebay kommt, hab ich nach dem anfang nicht mal mehr weiter gelesen...

http://www.ikarus-software.at/portal/modules.php?name=News&file=article&sid=178

............fast deshalb, weil manchmal sind's ja auch "kaiser-saves" vom manni
Ich fasse das mal als "verkapptes" Scherzchen auf und nehm`s auf die schwere Schulter.
Diese eine Mal werde ich den Lapsus noch durchgehen lassen :hehe:

Manni`s verschickte saves enthalten keine Maden sondern höchstens Baufehler. :hehe: :hehe:

Ich halte auch das Vorschaufenster für gefährlich:

Es gibt Bodytext Viren, also Viren die bereits in der Nachricht enthalten sind diese können je nach Einstellung des Mailprogrammes bereits aktiv werden.

Vor allem bei älteren Outlook Clients.

Das Vorschaufenster ist genau dann gefährlich, wenn es sich um eine HTML-Mail handelt (aus diesem Grunde mag ich sowas zum Beispiel nicht), weil dort (früher zumindest) nicht die Sicherheitseinstellungen der unsicheren Zone gezogen haben, so konnte ein Bösling dann mit in der Mail unsichtbar eingebauten Skripten versuchen, einen Schädling einzuschleusen. Mit einem aktuellen und gepatchten Outlook sollte man sich hoffentlich sicher fühlen dürfen, aber mit älteren Versionen nicht und mit Outlook Express schon gar nicht. ALSO: Verdächtige Mails nicht mal in der Vorschau ansehen.

Ich benutze zuhause ein schickes Tool namens POPpeeper, das per POP3 auf ein Postfach zugreifen kann und von dort zunächst mal ausschliesslich die Mailheader abruft. Die Mails kann man dann direkt auf dem Server löschen, ohne dass sie jemals den PC auch nur gesehen hätten, und wenn ich eine Mail zur Ansicht anzeigen lasse, dann wird sie immer nur als Text gezeigt. Sehr praktisch das Tool, und sehr sicher.

jetzt werd ich schön langsam sauer....:mad:

schon zum 3. mal hab ich jetzt so ein "nettes mail" in meinem posteingang gefunden - diesmal das mit dem bekannten text, dass es von der BKA wäre und strafanzeige wegen illegalem downloaden erstattet werden würde etc.....

Aber eva, nicht ärgern, kannst doch sowieso nichts dagegen machen.

Einfach löschen, oder mal den Text in Ruhe lesen und über die Fehler lachen.
Hatte heute mal Post von der Deutschen Bank 8)

Wusste gar nicht, dass das BKA in Österreich was zu sagen hat :D

Aber eva, nicht ärgern, kannst doch sowieso nichts dagegen machen.


ich ärger mich nur, weil ich bisher nie sowas gekriegt hab - und ich hab die email-adresse seit über 3 jahren. ich hoffe ich bleib von spams wenigstens weiterhin verschont.

bka in österreich...ja...da braucht man unheimlich lang, um draufzukommen, dass da was nicht stimmt...:D

na - im ernst - ich weiß ganz genau, wem ich meine email-adresse gegeben hab und wem nicht....so lange ich keine "täuschend echten fälschungen" von adressen/leuten bekomme, denen ich meine adresse gegeben hab, fühl ich mich RELATIV sicher in der beziehung...

... dass es von der BKA wäre und strafanzeige wegen illegalem downloaden erstattet werden würde etc.....

:lol: So etwas hat eine Bekannte von mir bekommen.
Lustiges Detail am Rande ist ihre Frage an den Betreiber des Internetcafes :D :
"Ich hab da eine Mail bekommen das ich wegen illegalen Download von MP3 Files angezeigt werde.. ähm was sind MP3's?"

«RTL: Wer wird Millionaer» Das hatte ich in meinen elektronischen Brieffach. Ich dachte nur "hä?" Glücklicherweise war der Virus schon zerstört noch bevor er bei mir ankam.

@eva

Deine Adresse ist ja auf einigen Rechner gespeichert - nämlich all jenen, denen Du schon mal gemailt hast, oder die Dir mal gemailt haben. Wenn die dann keinen Webmailer benutzen, sondern ein Mailprogramm mit Pop3 oder IMAP, dann sind die Adressen auf dem Rechner gespeichert. Nun kommt ein netter Virus vorbei und der liest die Adressen aus. Und dann ist es schon gelaufen. Der Virus gibt unter Umständen die Adressen weiter, vor allem aber benutzt er den Rechner als Mailversand-Server. Du kannst das also gar nicht mehr vermeiden. Lösung: entweder läßt Du jeden, der Dir eine Mail schicken will sich vorher authentifizieren - einige Provider bieten das inzwischen an. Oder aber Du setzt einen vernünftigen Spam-Filter auf. Ich hab hier sowas und trotzdem darf ich jeden Tag ca. 5-10 Spam-Mails aus dem privaten Account löschen.