(am) – Seit Mittwoch Abend ist eine neue Sober-Variante unterwegs. Sie wurde über Nacht in deutscher und englischer Sprache per E-Mail an viele Anwender in ganz Deutschland verschickt. Im Anhang enthalten die E-Mails eine ZIP-Datei, mit der Bezeichnung “KlassenFoto.zip” bzw. “pword_change.zip”, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q ein Meldungsfenster mit dem Text “Error in packed file” und “CRC header must be $7ff8″. Anschließend installiert sich der Wurm im betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: “Fwd: Klassentreffen” oder “Your new Password”
Dateianhang: ZIP-Archiv mit der Bezeichnung “KlassenFoto.zip” bzw. “pword_change.zip”
E-Mail-Text:
“ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung 
.”
oder
“Your password was successfully changed! Please see the attached file for detailed information.”
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird TR/Bagle.CQ ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)
Die 0 Bytes großen Dateien sind Steuerdateien, welche ältere Varianten des Worm/Sober deaktivieren.
Folgende Einträge werden der Windows Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
“WinINet”=”%WinDIR%\\ConnectionStatus\\services.exe”
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
“WinINet”=”%WinDIR%\\ConnectionStatus\\services.exe”
Der Wurm durchsucht anschließend Dateien nach E-Mail-Adressen, an die er sich mit Hilfe seiner eigenen SMTP-Engine versendet. Ziel ist es Postfächer mit E-Mails zu verstopfen und E-Mail-Server lahm zu legen.
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Quelle: viren-ticker.de
