IT-Experten warnen vor neuen Varianten des Computerwurms Sober. Die Infektionsgefahr gilt als "hoch".
Der Antivirensoftware-Hersteller Kaspersky Lab hat insgesamt drei neue Sober-Würmer ausgemacht und sie mit den Buchstaben "u", "v" und "w" indiziert. Die Schädlinge, die sich im Anhang von E-Mails verbergen, unterscheiden sich durch ihr "Pack-Format". Die Mogelpackungen heißen:
Exceltab-packed_List.exe
Liste.zip
Reg-List-Dat_Packer2.exe
reg_text.zip
Word-Text.zip
Word-Text_packedList.exe
Word-Text_packedList.zip
Wie der Antivirenspezialist weiter mitteilt, schlängeln sich die neuen Würmer auf die gleiche Weise in Computer wie ihre Vorgänger. Nach dem Anklicken des E-Mail-Anhangs spucken sie auf den Bildschirm zuerst eine Fehlermeldung. Dann nisten sie sich im Windows-Systemverzeichnis ein. Um sich weiter zu verbreiten, schnappen sie sich alle E-Mail Adressen, die sie auf dem Rechner finden und versenden sich an diese über eine eigene SMTP-Maschine.
Tückisch: Die Wümer maskieren sich mit einer falschen Absenderadresse. Internetnutzer sollten daher auch bei E-Mails, die von bekannten Absendern stammen, nicht blindlings Dateianhänge öffnen.
Die verseuchten Mails kursieren in Deutsch und Englisch. Betreffzeile und Text variieren. In der Betreffzeile heißt es etwa "Haben Sie diese E-Mail verschickt?" Der Text der entsprechenden Mail lautet:
"Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!! Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige zu erstatten. Sie Spinnen wohl! Die E-mail hat meine Tochter gelesen!!! Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurückgeschickt."
Eine anderer Text, mit dem die Sober-Schöpfer versuchen, Internetnutzer hinters Licht zu führen:
"Guten Tag, jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!). Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.
Ok, hier haben Sie sie wieder zurueck!
gruss"
Welchen Schaden die Würmer anrichten, ist noch unklar. Nach Angaben des Internetdienstes "heise online" gibt es bislang keine Hinweise darauf, dass sie eine "Hintertür" oder ähnliche Schwachstellen installieren. Der Softwarehersteller McAfee weist darauf hin, dass die Version Sober.V das Antivirenprogramm Stinger lahm legt.
Laut McAfee verschickt sich der Wurm im Gegensatz anderen Massmailer nicht an TCP-Port 25, sondern an Port 587. Dieser habe bei einigen Mailservern die gleiche Funktion wie Port 25, werde allerdings bei der Konfiguration einer "Gateway Firewall" oft übersehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Verbreitung der Würmer, die seit Dienstagmorgen im Netz sind, als "hoch" ein. Der Software-Hersteller H+BEDV beurteilt die Infektionsrate als "alarmierend hoch".
Links:
www.bsi.de
www.heise.de
