Mails mit dem Betreff "Klassentreffen" enthalten eine neue Variante des Sober-Wurms.

Mehrere Antivirus-Hersteller melden eine oder gar zwei neue Varianten des Sober-Wurms, die heute entdeckt wurden. Die Verbreitung ist in Deutschland durchaus spürbar, weltweit wohl eher geringer. Der Wurm verbreitet sich wie seine Vorgänger in Mails mit deutschem Betreff und Text, kennt aber auch eine englische Version.

Die deutsche Fassung der Sober-Mails kommt mit dem Betreff "Fwd: Klassentreffen", in der englischen lautet er "Your new Password". Der Text der Mails, die mit falschen Absenderangaben verschickt werden, lautet:

hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung

liebe grüße:
(Elke, Hannelore, Kerstin, Nicole, Rita oder Sandra)

Die deutsche Mail enthält einen Anhang namens "KlassenFoto.zip", der 111 Kilobytes groß ist. Diese ZIP-Datei enthält ein Programm mit dem Dateinamen "PW_Klass.Pic.packed-bitmap.exe" - das ist der Wurm. Wird diese EXE-Datei ausgeführt, entscheint eine vorgetäuschte Fehlermeldung (siehe Abbildung):

"Error in packed file!
CRC Header must be $7ff8"

Der Wurm kopiert sich als "services.exe" in das Verzeichnis "C:WINDOWSConnectionStatus" und trägt diese Kopie in die Registry von Windows ein, damit sie beim Starten von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
WinINet = C:WINDOWSConnectionStatusservices.exe

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
_WinINet = C:WINDOWSConnectionStatusservices.exe

Der Wurm verschickt sich dann per Mail an Andressen, die er auf dem infizierten PC findet. Als gefälschte Absenderangabe wird häufig eine GMX-Adresse benutzt. Dies scheint zu Problemen beim normalen Mail-Versand über GMX zu führen.

Der vereinheitlichte CME-Name ( Common Malware Enumeration) dieses Wurms ist " CME-151 ". Bei Mcafee wird er als W32/Sober.r@MM geführt, bei Symantec (Norton) als W32.Sober.Q@mm. Symantec kennt noch eine weitere Variante des Wurms, die als "W32.Sober.R@mm" bezeichnet wird. Bei Trend Micro heißt der Wurm WORM_SOBER.AC , Virenscanner mit Kaspersky-Technik melden "Email-Worm.Win32.Sober.s" ( F-Secure ).

Aktualisiert Eure Virenscanner - die meisten Hersteller haben, auch außerhalb der normalen Update-Zyklen, aktualisierte Signaturen bereitgestellt oder werden dies in den nächsten Stunden tun.