Gefährliches Klassentreffen
6. Oktober 2005
Seit ein paar Stunden macht eine neue Sober-Variante die Runde. Die gefährliche Post tarnt sich als E-Mail eines vermeintlichen Schulfreundes. Dieser gaukelt dem Betroffenen vor, im Anhang befinde sich ein altes Foto eines Klassentreffens. In Wahrheit enthält die angehängte ZIP-Datei, die KlassenFoto.zip heisst, eine EXE-Datei, die den schädlichen Code enthält. Wird die Datei gestartet, nistet sich der Wurm auf dem befallenen System ein.
Die E-Mail trägt die Betreffzeile "Fwd: Klassentreffen".
Der Text im Mail-Body lautet: hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! Ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. Wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;) liebe grüsse: Dann folgt ein zufällig gewählter Vorname.
Auf infizierten Rechnern nistet sich der Schädling so in die Registry ein, dass er sich bei jedem Neustart automatisch aktiviert. Ausserdem sucht er in lokalen Dateien nach E-Mail-Adressen, an die er sich über eine SMTP-Engine verschickt.
Der Sober-Wurm, der auch die Bezeichnung CME-151 trägt, verbreitet sich momentan hauptsächlich im deutschsprachigen Raum. Er wurde aber auch schon ein einer englischen Variante gesichtet, die den Anhang als neues Passwort namens pword_change.zip tarnt.
Die Antivirenhersteller empfehlen, die Signaturdateien dringend upzudaten. (IW)
Die E-Mail trägt die Betreffzeile "Fwd: Klassentreffen".
Der Text im Mail-Body lautet: hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! Ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. Wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;) liebe grüsse: Dann folgt ein zufällig gewählter Vorname.
Auf infizierten Rechnern nistet sich der Schädling so in die Registry ein, dass er sich bei jedem Neustart automatisch aktiviert. Ausserdem sucht er in lokalen Dateien nach E-Mail-Adressen, an die er sich über eine SMTP-Engine verschickt.
Der Sober-Wurm, der auch die Bezeichnung CME-151 trägt, verbreitet sich momentan hauptsächlich im deutschsprachigen Raum. Er wurde aber auch schon ein einer englischen Variante gesichtet, die den Anhang als neues Passwort namens pword_change.zip tarnt.
Die Antivirenhersteller empfehlen, die Signaturdateien dringend upzudaten. (IW)
Artikel kommentieren
