Sober

Wenn Klassentreffen virenverseucht sind

Neue Sober-Variante ist seit heute Nacht aktiv
Von Thorsten Neuhetzki

Dass Einladungen zu Klassentreffen per E-Mail ankommen, ist seit einigen Jahren bekanntlich nichts besonderes mehr. Wenn jedoch ein und die gleiche Einladung über Nacht mehrfach ins Postfach geschickt wird, man die Absender nicht kennt und auch noch eine Datei dran hängt, dann ist eine gesunde Skepsis angebracht. So auch heute Morgen, nachdem eine neue Sober-Variante die Runde gemacht hat.

Die E-Mail beinhaltet nach Angaben des Textes ein Klassenfoto. Wenn man sich darauf wiedererkennt, solle man doch auf jeden Fall zurückschreiben. Eigentlich überflüssig zu erwähnen, dass sich im Anhang KlassenFoto.zip kein Klassenfoto verbirgt, sondern der Quelltext des Wurmes. Doch ist dieser nicht sofort als solcher erkennbar. Wer die ZIP-Datei entpackt, erhält die Datei PW_Klass.Pic.packed-bitmap.exe. Dahinter könnte sich ein als .exe-File gepacktes Bild verbergen. Dem ist aber nicht so. Wer diese Datei öffnet, hat sich die neue Sober-Variante eingefangen.

Der Wurm trägt sich in die Registry des Windows-Systems ein und aktiviert sich bei jedem Rechnerneustart erneut. Er durchsucht Dateien auf den Rechnern nach E-Mail-Adressen und verschickt sich über eine eigene SMTP-Engine und mit gefälschtem Absender. Die letzte richtig großen Sober-Wellen gab es übrigens im Juni 2004 sowie im Mai 2005. Damals machte der Schädling mit dem sogenannten Nazi-Spam auf sich aufmerksam.