Allround Port

Zitat

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem Namen Akte.zip beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.

Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.

Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.

Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.

Zitat

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 80.70.219.59 erfasst wurde. Der Inhalt Ihres Rechners wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #49694
sind für Sie und ggf. Ihren Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach