Virusalarm: Sober ist tatsächlich ziemlich nüchtern

Nach Wochen relativer Ruhe an der Wurm- und Virus-Front verbreitet sich jetzt der klassische Internet Wurm ‘Sober-A’ mit immer größerer Geschwindigkeit. Seit Samstag ist die Malware ‘in the wild’, stellt der Antiviren-Experte Kaspersky fest. Auch die finnische F-Secure meldet einen “deutlichen Anstieg von Infektionsmeldungen seit dem Wochenende”.
Weil der Wurm sowohl englische als auch deutsche Betreffzeilen verwendet, um die Empfänger der Mail zum Öffnen des Attachments zu bewegen, kann er sich auch im deutschsprachigen Raum derzeit besonders gut vermehren. Dabei versprechen die variierenden Betreffzeilen Informationen über einen neuen Wurm und eine entsprechende Abhilfe.

Wird das Attachment mit den – bisher bekannten – Erweiterungen auf .pif, .bat, .scr, .com oder .exe gestartet, installiert sich der Wurm, erstellt im Windows-Verzeichnis drei Kopien von sich unter verschiedenen Namen und registriert sie im Registrierungsschlüssel des Betriebssystems. Für seine weitere Verbreitung sorgt Sober mit der Suche nach Mail-Adressen auf dem System, an die er sich über seine mitgebrachte SMTP-Engine verschickt. Deshalb läuft der Versand meist vom Anwender unbemerkt.

Für Unternehmen sei die Gefahr relativ gering, meinen die Hersteller von Antivirensoftware. Die ausführbaren Anhänge sollten in der Regel abgefangen und nicht an den Empfänger ausgeliefert werden. Während sich Sober also vor allem über weit schlechter geschützte Rechner von Heimanwendern versendet, warten die IT-Sicherheitsexperten auf eine neue Variante von Sobig. Im August hatte sich Sobig-F mit einer bis dahin nicht erreichten Geschwindigkeit verbreitet. Seit dem 10. September ist der Wurm aufgrund seiner eigenen Routine nicht mehr aktiv.