Wieder deutschsprachiger Wurm unterwegs
Anders als die Netsky- und Bagle-Varianten, die Anwender nur mit schnöden kurzen manchmal auch kryptischen englischen Texten auszutricksen versuchen, ist der neue Sober.F alias I-Worm.VB.c (Kaspersky) bilingual. In der Tradition seines Vorgängers Sober.c bietet er je nach Länderdomain englische oder deutsche Texte. Die Beschreibung auf der Symantec-Seite enthält Texte und Betreffzeilen aus gesichteten Mails. Die Hersteller von Antivirensoftware ordnen den Wurm derzeit erst in die Gefahrenstufe Low beziehungsweise 2 ein. Die Mail-Scanner-Statistik des Heise-Verlags weist allerdings allein für heute, den 4. April bereits über 1200 registrierte Samples auf.
Der Wurm verschickt sich selbst als Dateianhang mit gefälschtem Absender an Adressen, die er auf dem infizierten System gefunden hat. Sober.F nutzt keine Schwachstellen in Outlook Express oder dem Internet Explorer aus; zur Infektion ist ein Klick des Anwenders auf den Dateianhang notwendig. Der Wurm verfügt über keine Schadroutine, versucht aber Dateien aus dem Internet nachzuladen und auszuführen. Einige der gesichteten Mail-Samples des Wurm versuchten sogar vorzutäuschen, vom Virenschutz des jeweiligen Empfängers überprüft worden zu sein, indem sie einen Text mit der richtigen Domain des Anwenders anzeigten:
*** Anti- Virus: Es wurde kein Virus erkannt
*** Domainname Virenschutz
***
http://www.domainname.de
Insbesondere Anwender in Firmennetzen könnten fälschlicherweise glauben, die Mail sei vom Scanner des Unternehmens überprüft worden. Einige AVS-Hersteller haben ihre Signaturen schon aktualisiert. NAI und Symantec gehören leider noch nicht dazu; sie planen erst für den 7. April ein Update. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.