Web

 

Sober-Wurm verbreitet sich stärker als erwartet

30.10.2003

MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm "Sober", der seit dem Wochenende durch das Netz geistert, verbreitet sich offenbar stärker als zunächst angenommen. Während sich der Schädling zum Wochenbeginn eher langsam auszubreiten schien, warnen Virenexperten jetzt vor allem Anwender in Großbritannien und Deutschland vor einer erhöhten Infektionsgefahr.

Der Schädling führt deutschsprachige Anwender hinters Licht, indem er die Sprache seines Textes je nach Länderkennung der aufgespürten Empfängeradresse ändert. Sobald es sich um die Domains ".de" (Deutschland), ".at" (Österreich), ".ch" (Schweiz) oder ".li" (Liechtenstein) handelt, wird die Betreffzeile sowie der Nachrichtentext auf Deutsch angezeigt. Alle anderen Empfänger erhalten die E-Mail mit englischem Betreff und Text.

Sober verbreitet sich selbständig via E-Mail und ist zum Beispiel durch Betreffzeilen gekennzeichnet, wie

Neuer Virus im Umlauf!

Sie haben mir einen Wurm geschickt!

Neue Sobig Variante (Lesen!!)

oder nutzt eine sehr persönliche Anrede, wie

Hi Olle, lange nix mehr gehört,

Hi Schnuckel was machst du so?

Ich liebe Dich.

Auch anzügliche Zeilen wie "RE:Sex' stehen zur Auswahl.

In einem anderen Fall lobt der Virenschreiber den Autor des Sobig-Wurms, der Monate lang sein Unwesen trieb. Der vermeintliche E-Mail-Text lautet etwa:

Gratulation!! Deine Sobig-Würmer sind wirklich gut!!! Du bist ein sehr guter Programmierer! Dein Odin alias Anon.

Sobald das infizierte E-Mail-Attachment geöffnet wird, beginnt der Sober-Wurm sich zu verbreiten. Dazu sammelt er alle E-Mail-Adressen auf dem infizierten Computer und verschickt sich anschließend an die Adressaten.

Die Schadroutine mit der Endung "PIF", "BAT", "SCR", "COM" oder "EXE" steckt im etwa 63.000 Bytes großen Dateianhang. Um Anwender zum Starten der Datei zu animieren, wird laut Symantec eine Dialogbox angezeigt. Der Hersteller bietet ein kostenloses Tool an, das den Wurm beseitigen soll. (lex)