W32/Sober

Die bisher bekannten Würmer bedienten sich schon stark der Psychologie. Unglücklich Verliebte sahen ihre Hoffnungen mit Betreffzeilen wie "I love you" erfüllt und fingen sich den Loveletter-Wurm ein. Viele männliche Mail-Benutzer wurden durch angebliche Sex-Bilder von Promi-Frauen zum Öffnen von Mail-Beilagen verleitet und durften danach den Anna-Kournikova-Wurm loswerden. Und fast das ganze Jahr 2003 wurde beherrscht von gefälschten Microsoft-Updates, die nur den Swen- oder Dumaru-Wurm bescherten.

Der schon recht weit verbreitete Wurm namens "Sober" bedient sich einer neuen psychologischen "Öffne-Mich"-Masche: Seine Mails behaupten, Sie hätten Viren oder Spam verschickt; und der Beweis stecke in der Beilage. Da die Betreffzeilen und Mailtexte auch noch in Deutsch sind, könnten sich sogar fortgeschrittene Benutzer zum Öffnen der Beilage verleiten lassen.

Die ersten Informationen, die wir über diesen Wurm fanden, stammen von F-Secure [1]. Die Mails, in denen sich der Sober-Wurms verbreitet, haben diese Kennzeichen:

Eine dieser Betreff-Zeilen:

Neuer Virus im Umlauf!

Back At The Funny Farm

Sie versenden Spam Mails (Virus?)

Ein Wurm ist auf Ihrem Computer!

Langsam reicht es mir

Sie haben mir einen Wurm geschickt!

Hi Schnuckel was machst du so ?

VORSICHT!!! Neuer Mail Wurm

Re: Kontakt

RE: Sex

Sorry, Ich habe Ihre Mail bekommen

Hi Olle, lange niks mehr geh

Re: lol

Viurs blockiert jeden PC (Vorsicht!)

_berraschung

Ich habe Ihre E-Mail bekommen !

Jetzt rate mal, wer ich bin !?

Neue Sobig Variante (Lesen!!)

Ich Liebe Dich

Und der Name der Beilage könnte einer von diesen sein:

AntiVirusDoc.pif

Check-Patch.bat

Screen_Doku.scr

Removal-Tool.exe

Perversionen.scr

CM-Recover.com

Bild.scr

schnitzel.exe

robot_mail.scr

RobotMailer.com

Privat.exe

AntiTrojan.exe

Mausi.scr

NackiDei.com

Anti-Sob.bat

security.pif

Funny.scr

Liebe.com

Odin_Worm.exe

check-patch.bat

anti_virusdoc.pif

perversion.scr

removal-tool.exe

screen_doc.scr

potency.pif

CM-Recover.com

pic.scr

playme.exe

robot_mailer.pif

private.exe

anti-trojan.exe

love.com

nacked.com

anti-Sob.bat

NAV.pif

funny.scr

little-scr.scr

Wer sich verleiten lässt, die Beilage auszuführen, erlaubt dem Wurm, sich im System zu installieren. Dies äussert sich darin, dass der Wurm Dateien auf der Festplatte ablegt und ein paar Einträge in der Windows-Registry ändert oder hinzufügt.

Die Einträge in der Registry finden in einem oder in beiden dieser Registry-Zweige statt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

oder

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Darin finden sich Verweise auf eine dieser Dateien, die der Wurm im Windows-System-Ordner (z.B. C:\Windows\System32\) ablegen könnte und die Kopien des Wurms sind:

drv.exe

similare.exe

systemchk.exe

sysrunll.exe

winreg.exe

filexe.exe

Der Wurm verbreitet sich danach mit den oben erwähnten Eigenschaften an gefundene Mail-Adressen weiter.

Um den Sober-Wurm loszuwerden, müssen Sie die von ihm erstellten Registry-Einträge löschen, ebenso wie die von ihm angelegten Dateien. Bis Montag-Abend, dem 27. Okt. 2003 sollten eigentlich alle Antivirus-Hersteller den Wurm aufspüren können.

McAfee kennt den Wurm auch bereits als W32/Sober@MM [2], Norton als W32.Sober@mm [3] und Kaspersky als I-Worm.Sober.