Schon wieder neue Welle des Sober-Wurms

Der Sober-Wurm [1] wäre eigentlich ein alter Hut in der Virenszene. Trotzdem setzt er immer wieder erfolgreich auf die gleiche Masche. Dies wird sich auch nicht ändern, solange PC-Benutzer auf seine - meist in Deutsch gehaltenen - Mails hereinfallen und die infizierte Beilage öffnen.

Wir zeigen Ihnen drei besonders typische Textbeispiele für die aktuelle Sober-Welle. Die erste macht von den Antipiraterie-Bemühungen der Musik- und Filmindustrie Gebrauch und versucht damit den Empfänger der Mail in Angst und Schrecken zu versetzen:

Betreff: "Ermittlungsverfahren wurde eingeleitet"

Teil des Mailtexts: "Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.

Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP X.X.X.X erfasst wurde."

Die im Text genannte IP-Adresse ist jeweils frei erfunden. In der Folge behauptet der Mailtext, der Rechner-Inhalt sei "sichergestellt und ein Ermittlungsverfahren eingeleitet" worden. Weiteres finde man angeblich im Anhang, der z.B. "Akte5218.zip" heissen kann. Wer die Beilage in einem Windows-Betriebssystem öffnet, infiziert dieses jedoch mit dem Sober-Wurm (laut Kaspersky [2]: Sober.Y). Damit öffnet man echten kriminellen Handlungen überhaupt erst die Türe: Die meisten Sober-Varianten statten den infizierten PC mit einer Backdoor aus, über die ein Angreifer z.B. fremde Server attackieren oder tausende Benutzer mit Spam belästigen kann.

Das zweite Beispiel dieser Sober-Mails missbraucht den Namen einer bekannten TV-Sendung und hofft, beim Empfänger auf möglichst viel Geldgier oder Gewinnsucht zu stossen.

Betreff: "RTL: Wer wird Millionaer"

Teil des Mailtexts: "Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.

Sie sitzen demnaechst bei Guenther Jauch im Studio!

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang."

Darunter steht eine offiziell aussehende Adresse von RTL. Natürlich steckt in der Beilage (namens Gewinn.zip) keine Einladung fürs Fernseh-Quiz, sondern der Wurm.

Das dritte Beispiel kommt im Gegensatz dazu überaus sachlich daher, vermutlich in der Hoffnung, auch ein fortgeschrittener Benutzer könne in einem schwachen Moment auf den fatalen Anhang klicken.

Betreff: "Mailzustellung wurde unterbrochen"

Teil des Mailtexts: "I'm afraid I wasn't able to deliver your message.

This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!"

Der Mailtext ähnelt also einer typischen Unzustellbarkeitsmeldung. Eine Mail, die angeblich nicht angekommen sei, stecke im Anhang (Email.zip).

Weitere Sober-Mails sehen wie Bestätigungen von eBay aus oder wie Passwort-Zustellungsmails von Providern. Wie immer ist es unerlässlich, sich vor dem Öffnen eintreffender Mails ganz genau zu überlegen, ob es sich um ein Exemplar des Sober-Wurms oder um einen sonstigen Schädling handeln könnte.