Web

Rassistische Spam-Mails kommen über den Sober-Wurm

14.06.2004

Seit Donnerstag vergangener Woche sind insbesondere in Deutschland vermehrt Spam-Mails mit rassistischem Tenor im Umlauf (Computerwoche.de berichtete). Aufgrund der Inhalte ist es wahrscheinlich, dass die Urheber in der deutschen Neonazi-Szene zu finden sind, sagen Experten. So wird in den Mails unter anderem von angeblichen Überfällen türkischer Jugendlicher auf deutsche Kinder berichtet und islamischen Mitbürgern pauschal die Verwicklung in Drogengeschäfte und Sozialhilfemissbrauch unterstellt.

Erste Hinweise vom vergangenen Freitag, dass sich die Hetzschriften über den E-Mail-Wurm "Sober" verbreiten, haben sich den Antivirenexperten von F-Secure zufolge bestätigt. Demnach nutzen die rechten Hetzer die Wurm-Variante "H" alias "Trojan.Ascetic.A" als Transportmittel. Sie verbreitet sich allerdings nicht selbständig, sondern wird von "Sober.G" nachgeladen. Sober.G ist ein klassischer E-Mail-Wurm, dessen Schadroutine in einem Mail-Anhang steckt. Wird das Attachment ausgeführt, nistet sich Sober.G als trojanisches Pferd ein und sammelt E-Mail-Adressen aus dem Windows-Adressbuch und aus lokal gespeicherten Dateien. Weitere Schadenswirkungen treten zunächst nicht auf. Sober.H nutzt die Adresssammlungen und die in Sober.G integrierte SMTP-Engine, um die Hetzbotschaften zu versenden. Sich selbst verbreitet sich der Schädling jedoch nicht über diese Mails. Wie die Variante G lädt auch Sober.H weiteren Code nach -

die Datei "winhlpx32ll.exe" vom Server "people.freenet.de".

Die Masse der in den letzten Tagen aufgetauchten Hetz-Mails lasse darauf schließen, dass Sober.G auf sehr vielen Rechnern schlummert, sagen Experten. Zu erkennen sind infizierte Rechner zum Beispiel an Ordnern mit den Bezeichnungen "bcegfds.lll", "zhcarxxi.vvx", "cvqaikxt.apk" und "Odin-Anon.Ger", die der Schädling im Windows-Systemverzeichnis anlegt. Außerdem wird in die Registrierdatenbank unter dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" der Wert "" = "%System%\.exe %1" eingetragen.

Antivirenhersteller empfehlen, die Virensignaturen auf den aktuellen Stand zu bringen. Kostenlose Tools zum Entfernen von Sober bieten zum Beispiel McAfee(Stinger), und Symantec (W32.Sober@mm Removal Tool). Weitere Informationen über den Wurm hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht. (lex)