Kaspersky Labs, ein anerkannter Experte im Bereich IT-Sicherheit, warnt Sober.c, einer neuen Modifikation des eMail-Wurms Sober. Es sind bereits Meldungen über Infizierungen durch diese Malware eingegangen.

Die Sober-Familie gehört zur Kategorie der eMail-Würmer, Schädlinge, die sich über eMails verbreiten. Die neue Modifikation ist bereits die dritte seit Entdeckung der ersten Version am 27. Oktober 2003. Allem Anschein nach ist Sober.c, wie seine Vorgänger, in Deutschland geschrieben worden.

Sober.c unterscheidet sich vom Original durch erweiterte Funktionen und eine perfidere Maskierung. Wie die anderen 'Familienmitglieder' versucht er über infizierte eMails in den Rechner einzudringen. Die eMails selbst können ganz unterschiedlich aussehen (Text in Englisch und in Deutsch), ebenso die Namen der angehängten Dateien. Zum Beispiel:

Betreff:
why me?

Textkörper:
You say in the www. that i'm a terrorist!!!
No way out for you. I REPORT YOU !
You've said THAT about me

Name der angehängten Datei:
terror-list.com

Es muss darauf hingewiesen werden, dass die angehängten Dateien auch die Erweiterungen "bat", "cmd", "pif" sowie "scr" haben können. In diesem Zusammenhang möchte Kaspersky Labs die Anwender zum wiederholten Mal warnen, dass solche Dateien Malware enthalten können und vor dem Öffnen gründlich geprüft werden müssen.

Falls der Anwender unvorsichtig genug war, die angehängte Datei zu öffnen, läßt der Wurm eine falsche Fehlermeldung auf dem Bildschirm erscheinen und startet seine Prozedur zum Eindringen in den Rechnerspeicher.

Sober.c erstellt im Windows-Systemverzeichnis drei seiner Kopien unter zufällig gewählten Namen und registriert sie im Windows-Startverzeichnis. Dadurch stellt der Wurm seine Aktivierung bei jedem neuen Laden des Betriebssystems sicher.

Danach beginnt Sober.c sofort mit der Prozedur für seine weitere Verbreitung. Zunächst durchsucht er den Festplatteninhalt des infizierten Rechners und pickt sich aus Dateien mit bestimmten Erweiterungen (z.B. HTML, WAB und EML) eMail-Adressen heraus. Dann verschickt er vom Benutzer unbemerkt an diese seine Kopien. Dazu benutzt er ein eingebautes Unterprogramm, welches unter dem SMTP-Protokoll läuft.

'Bis jetzt haben wir nur episodische Fälle von Infizierungen durch Sober.c festgestellt. Doch, wie die Praxis seiner Vorgänger gezeigt hat, entfaltet er am Wochenbeginn seine höchste Aktivität, wenn die Anwender die eMails abarbeiten, die sich übers Wochenende angesammelt haben,' meint Eugene Kaspersky, Leiter der Virenforschung des Unternehmens. 'Um die neue Arbeitswoche und die bevorstehenden Feiertage nicht zu verderben, empfehlen wir, die Arbeit mit dem Aktualisieren des Anti-Viren-Programms und einem prophylaktischen Scannen der Festplatte zu beginnen.'

Es sind bereits Schutzverfahren gegen Sober.c der Datenbank von Kaspersky Anti-Virus hinzugefügt worden. Detailliertere Informationen über diese Malware finden Sie in der Kaspersky Virus Encyclopedia.