Web

 

Viruswarnung: Neue "Sober"-Version tarnt sich als Microsoft-Patch

09.03.2004

MÜNCHEN (COMPUTERWOCHE) - Antiviren-Experten warnen vor einer neuen Version des E-Mail-Wurms "Sober", die seit Montag das Netz unsicher macht. Anwender will der Virenschreiber durch einen perfiden Trick zur Installation der Schadroutine treiben. So gaukeln mit "Sober.D" infizierte Mails Microsoft als Absender vor und warnen im Nachrichtentext vor einer angeblich neuen Version des Wurms "MyDoom". Die Schadroutine steckt im als Patch getarnten Dateianhang. Microsoft versendet allerdings keine Sicherheits-Updates via E-Mail.

Wie bereits frühere Sober-Varianten kursiert auch der neue Wurm mit englischem und deutschsprachigem Nachrichtentext (Computerwoche.de berichtete). Die Betreffzeilen lauten "Microsoft Alert: Please Read!" oder "Microsoft Alarm: Bitte Lesen!" gefolgt von einer mehrstelligen Nummer und der Mail-Adresse "qmail@microsoft.com". Der Dateianhang trägt unter anderem die Bezeichnung "Patch", "Security" oder "UpDate".

Einmal ausgeführt, kopiert sich Sober unter einem zufällig gewählten Dateinamen in das Systemverzeichnis von Windows. Dieser lässt sich aus der Registrierdatenbank auslesen, wo sich der Schädling im Autorun-Schlüssel einträgt (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\). Im Fall einer Infektion ist ein weiterer Eintrag unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" zu finden. Die Schadroutine durchsucht lokal gespeicherte Dateien und das Windows-Adressbuch nach E-Mail-Adressen, an die sie sich mittels integrierter SMTP-Engine selbständig weiterverschickt. (lex)