Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, warnt vor einer neuen Modifikation des Email-Worm.Win32.Sober – Email-Worm.Win32.Sober.p.

Der Wurm wurde bereits am 2. Mai von den Kaspersky Lab-Experten analysiert. Den Statistiken der Mail-Server ist zu entnehmen, dass es sich um den meist verbreiteten Malicious Code im Mail-Verkehr handelt. Sober schlägt bereits sämtliche Rekorde seiner Vorgänger - sowohl in der Anzahl der verschickten Viren-Mails als auch in der Geschwindigkeit der Verbreitung in einigen europäischen Ländern (insbesondere in den Niederlanden, Deutschland, Ungarn und einigen anderen Staaten). Von asiatischen und russischen Anwendern erhält Kaspersky Lab derzeit nur wenige Meldungen über eine Infektion durch diese Sober-Version.

Sober.p ist ein Wurm, der sich als infizierter E-Mail-Anhang über das Internet verbreitet. Er verschickt sich selbst an alle auf dem infizierten Computer gefundenen E-Mail-Adressen.

Der Wurm ist eine Archiv-Datei, die sich selbst entpackt, und die gepackt eine Größe von etwa 53 KB beträgt. Die Datei ist an E-Mails angehängt, welche unterschiedliche Betreffzeilen und Texte enthalten (teilweise in deutscher Sprache). Auch der Name des infizierten Anhangs wird zufällig aus einer vom Programmierer vorgegebenen Liste gewählt und trägt die Erweiterung .zip.

Der Wurm aktiviert sich beim Öffnen des infizierten Anhangs durch den Anwender. Danach erscheint auf dem Bildschirm die Fehlermeldung: CRC (“CRC not complete”). Der aktive Wurm kopiert sich in das System-Verzeichnis mit den Namen von Systemdiensten und erstellt in einigen Ordnern Kopien von sich selbst. Er registriert sich des weiteren in der System-Registry.

Nach dem Kopieren sucht der Wurm nach Adressen für seinen Versand. Die Suche erfolgt sowohl in den Adressbüchern als auch in Dateien – Text-Dateien, PowerPoint-Präsentationen, Datenbanken usw. Sobald die Suche abgeschlossen ist, verschickt sich der Wurm an alle auf dem Computer aufgefundenen E-Mail-Adressen.

Die Kaspersky® Anti-Virus-Datenbanken sind bereits aktualisiert, um Anwender vor "Email-Worm.Win32.Sober.p" zu schützen. Weitere Informationen sind in der Kaspersky Viren-Enzyklopädie zu finden.