Der Wurm breitet sich seit Montagabend aus und steckt in einer zip-Datei, die an die E-Mail angehängt ist. Der Schädling wird aktiv, sobald man den Anhang öffnet. Auf dem Bildschirm erscheint dann die Fehlermeldung: "Error: CRC not complete".
In der Betreffzeile der E-Mails heißt es etwa "Glueckwunsch: Ihr WM Ticket", "WM Ticket Verlosung" oder "WM-Ticket-Auslosung". Die Absenderadresse ist gefälscht, eingetragen sind zum Beispiel: "FIFA@fifa.de", "Administrator@fifa.de" oder "Ticket@ok2006.de". Der Text der Mail lautet:
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
Darunter folgen die Namen von Ansprechpartnern und die Kontaktdaten. Tückisch: Der neue Wurm tarnt sich nicht nur als Nachricht des WM-Organisationskomitees. Beobachtet wurden auch die Betreffzeilen:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: [blank
Wie seine Vorgänger verschickt sich Sober.P über seine eigene SMTP-Maschinen an alle E-Mail-Adressen, die er auf dem Rechner ausspäht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Verbreitung des Wurms als "hoch", das Schadensrisiko als "mittel" ein.
Weitere Infos:
www.bsi.de