Eine neue Version des Sober-Wurms tauchte gestern Nachmittag auf. Dabei wurde die Tatsache genutzt, dass gestern auch die zweite Phase der Ticket-Verlosung für die Fußball-WM startete. Mit darauf abgestimmtem Betreff und Text breiteten sich die ersten Exemplare schnell aus, so dass mehrere Antivirus-Hersteller noch am Abend eine erhöhte Alarmstufe ausriefen.

Wie bei Sober üblich gibt es deutsche und englische Varianten der verschickten Mails:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung
mailing error
Registration Confirmation
Your email was blocked
Your Password

Es kommen auch Kombinationen mit "FwD: " oder "Re: " vor. Die Mail-Texte bestehen zum einen aus einem etwas längeren, der zu einer Zuteilung von WM-Tickets gratuliert, zum anderen aus zufälligen Kombinationen verschienener Textbausteine. So heißt es unter anderem:

"Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang."

Die Textbausteine imitieren Meldungen bei nicht zugestellten Mails und Textzusätze von Antivirus-Programmen (zum Beispiel "AntiVirus: Kein Virus gefunden"), sowie die Übermittlung eines Passworts. Die Absenderangabe sind gefälscht und enthalten zum Teil Domains der WM-Organisation (fifa.de, ok2006.de).

Der Anhang besteht aus einer 52 KB großen ZIP-Datei mit einem der folgenden Dateinamen:

_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

Die Datei enthält eine 53,554 KB große Programmdatei mit dem Namen "Winzipped-Text_Data.txt" gefolgt von mehreren Leerzeichen und der zweiten Endung ".exe" oder ".pif". Wird diese Datei entpackt und gestartet, durchsucht der Wurm die Festplatte nach Mail-Adressen, an die er sich versendet. Vorher prüft er noch, ob eine aktive Internet-Verbindung besteht, etwa durch Abfrage eines Zeit-Servers (NTP, über TCP-Port 37).

Ferner trägt er sich in die Windows-Registry ein:

Schlüssel:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Eintrag:
WinStart = %Windir%Connection WizardStatusservices.exe
(%Windir% steht dabei für das Windows-Verzeichnis, meist C:Windows oder C:Winnt).