Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts (BKA)
Die letzte Sober-Welle ist noch nicht abgeklungen, da tritt schon eine neue Variante auf den Plan und versucht die Windows-Systeme von Anwendern zu infizieren.
Anders als bei seinen Vorgängern Sober.V/.W sind die Nachrichtentexte von Sober.Y/.Z sehr viel raffinierter. Unter anderem tarnt sich der Schädling als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden oder habe Raubkopien auf dem Rechner gespeichert.
Originaltext einer Mail:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll
Im gezippten Anhang steckt mal wieder der Wurm, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei logischerweise von selbst installiert.
Mit einem ähnlichen Text war bereits Sober.C Ende 2003 recht erfolgreich, die Kripo Düsseldorf war damals angeblicher Absender. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y.
Weitere Textvarianten, mit denen der Wurm versucht den Anwender zum Öffnen des Anhangs zu bewegen gibt es ebenso:
- eine eBay-Kontoeröffnung
- eine RTL-Gewinnbenachrichtigung zu "Wer wird Millionär"
- eine Postbankbenachrichtigung zu wichtiogen Änderungen
- eine Benachrichtigung der Volksbank
Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht und würde im Rahmen eines Rechtsabkommens zur Anzeige gebracht.
Technisch gesehen ähnelt Sober.Y laut F-Secure seinen Vorgängern, er verbreitet sich also von infizierten PCs mit einer eigenen SMTP-Engine. Ob er dabei wie Sober.V/.W geknackte GMX- und Web.de-Konten benutzt, ist derzeit noch unklar. Nach Angaben von Sophos kann er aber weiteren Schadcode nachladen und so das System rasend schnell ausspionieren. Zusätzlich versucht er wie immer den Virenscanner zu deaktivieren.
Was tun?
Anwender sollten beim Umgang mit Anhängen in Mails wie immer größte Vorsicht walten lassen, denn auch E-Mails von bekannten Absendern können im Attachment einen oder eben diesen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme schamlos und ohne eigenes Zutun nutzen.
Sehr gute Hinweise zu Verzeichnissen etc. beim Bundesamt für Sicherheit in der Informationstechnik BSI: http://www.bsi.de/av/vb/sober-x.htm
Quelle: http://www.heise.de