Private Mails von Sober.L
Nur alter Wein in neuen Schläuchen
Den Programmierern des neuen Sober-Wurms sind offenbar die Ideen ausgegangen. Sober.L, die jüngste Variante aus der rechtslastigen Sober-Wurmschmiede, plündert im Prinzip nur die Einfälle, von denen auch seine Vorgänger schon lebten. Lediglich Betreffzeile und Nachrichtentexte der infizierten Wurmmails sind abgeändert, wenngleich auch nicht wirklich neu, geschweige denn originell. Denn die Idee, die infizierte Email als Benachrichtigung über fehlgeleitete Mails auszugeben, gab es auch schon anderswo. Und genau wie seine Wurmgeschwister kommt Sober.L ebenfalls mit deutschen und englischen Betreffzeilen sowie Nachrichtentexten daher.
Schlechtes Deutsch und Rechtschreibfehler
Die deutsche Version von Sober.L behauptet in ihrer Betreffzeile: „Ich habe Ihre E-Mail bekommen!“. Ihr Nachrichtentext „informiert“ den Empfänger in schlechtem Deutsch gespickt mit Rechtschreibfehlern über angeblich fehlgeleitete private Mails:
„Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer
das diese Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.
Gruss“
Business as usual auch in der englischen Variante
Die englischsprachige Wurmvariante besitzt die Betreffzeile „Your Password & Account number“ und gaukelt ihrem Empfänger den Empfang einer fehlgeleiteten Email vor, die ein Passwort sowie Account-Informationen enthalte. Offenbar funktioniert der schon x-mal durchprobierte Trick mit den falsch zugestellten Emails noch immer blendend. Denn zumindest die deutschsprachige Sober.L-Version verbreitet sich derzeit mit ansehnlicher Geschwindigkeit im Netz.
W32.Sober.L@mm
Die neueste Variante aus der Sober-Wurmfamilie heißt beim Antivirenspezialisten AntiVir Sober.M, McAfee führt den neuen Wurm als Sober.gen, und das Bundesamt für Sicherheit in der Informationstechnik nennt ihn mit vollem Namen W32.Sober.L@mm. Dieser Name enthält bereits die wesentlichen Informationen über den neuen Wurm: „W32“ bedeutet, dass das Wurmprogramm Windows-Systeme befällt. Der Anhang „@mm“ weist auf seine Art hin, sich zu verbreiten, per Massenmailing nämlich. Dabei fahndet Sober.L in befallenen Systemen nach Emailadressen, an die er sich über seine eigene SMTP-Engine mit gefälschten Absenderangaben verschicken kann. Einmal aktiviert, erzeugt das Wurmprogramm etliche Dateien, die im Windows-Systemverzeichnis abgespeichert werden. Außerdem verewigt sich der Wurm in der Registrierung und sorgt dafür, dass er bei jedem Systemstart automatisch mitgestartet wird. Damit nicht genug.
Sober.L will nach Hause telefonieren
Wie seine Vorgänger würde Sober.L gerne „nach Hause zu telefonieren“ und Verbindungen zu mehreren Webservern herstellen. Besteht im infizierten System keine Internetverbindung, versucht der Wurm Wählverbindungen zum Internet aufzubauen und schädlichen Programmcode nachzuladen. Damit er all diese Aktivitäten ungestört entfalten kann, beendet er die Sicherheitsprogramme, die im infizierten PC installiert sind. Sober.L muss vom Mailempfänger aktiviert werden. Der Dateianhang kommt zunächst als .zip-Datei daher, die entpackt werden muss („MailTexte.zip“ in der deutschen Wurmversion, „acc_text.zip“ in der englischen Variante). Anschließend erhält man eine Datei, deren Name mit „mail_text_data.txt“ beginnt – gefolgt von vielen Leerzeichen, bis dann die eigentliche Dateiendung „.pif“ angezeigt wird. Unbedarfte User könnten den entpackten Dateianhang also für eine ganz normale Textdatei halten.
Zurück zur News-Übersicht
