Sober-Wurm: verhängnisvolles Klassentreffen

Die jüngste Version des Sober-Wurms verbreitet sich per E-Mail-Anhang. Sie verwendet einen gemeinen Trick, um die Nachricht möglichst plausibel erscheinen zu lassen und den Anwender so zum Öffnen des verseuchten Attachments zu bringen. Im Betreff-Feld verweist die E-Mail in deutscher oder englischer Sprache auf ein Klassentreffen. Der Nachrichtentext lautet folgendermassen:

"hi,

ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!

ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.

wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)

liebe grüße:

Nicole"

Das vermeintliche Klassenfoto ist in einer ZIP-Datei verpackt. Wird der Computerwurm ausgeführt, zeigt er laut Symantec [1] eine Fehlermeldung an. Gleichzeitig legt er verschiedene Dateien im Systemordner ab und fügt einen Autostart-Eintrag in die Windows-Registry ein. Darüber hinaus sucht er auf der Festplatte nach E-Mail-Adressen und verschickt sich an diese. Der Computerwurm läuft unter anderem unter den Bezeichnungen Sober.R, W32.Sober.Q@mm und W32/Sober-O. Nach der neuen Virenklassifizierung heisst der Schädling CME-151 [2].

Bei der aktuellen Sober-Variante handelt es sich aber nicht um den einzigen Computerwurm der momentan im Umlauf ist. Bei der PCtipp-Redaktion sind heute weitere Mails eingetroffen, die einen Schädling enthalten und in deutscher Sprache daher kommen. Sie verwenden den Betreff "Bcc: Ich habe Ihre Mail erhalten!" und weisen darauf hin, dass die Nachricht an eine falsche Adresse verschickt worden sei. Auch sie führen ein angebliches Foto im Anhang mit sich, das in einer ZIP-Datei verpackt ist.