Schatzsucher.de - Einzelnen Beitrag anzeigen - Achtung! Spam-Mail-Attacke RTL verspricht Teilnahme an „Wer wird Millionär“

linux_blAcky · 22.11.2005, 10:49

Kaum ist die letzte Sober-Welle abgeklungen, tritt eine neue Variante auf den Plan und versucht, die Windows-Systeme von Anwendern zu infizieren. Anders als bei seinen Vorgängern Sober.V/.W[1] sind die Nachrichtentexte von Sober.Y/.Z sehr viel raffinierter. Unter anderem tarnt sich der Schädling als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden:

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll

Im gezippten Anhang steckt natürlich der Wurm selbst drin, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei installiert. Mit einem ähnlichen Text war bereits Sober.C[2] Ende 2003 recht erfolgreich. Allerdings war dort als vermeintlicher Absender die Kripo Düsseldorf eingetragen. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y. Daneben gibt es noch weitere Textvarianten, mit denen der Wurm versucht, den Anwender zum Öffnen des Anhangs zu bewegen, etwa eine eBay-Kontoeröffnung und eine RTL-Gewinnbenachrichtigung. Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht.

Technisch gesehen ähnelt Sober.Y laut F-Secure seinen Vorgängern; er verbreitet sich also von infizierten PCs mit einer eigenen SMTP-Engine. Ob er dabei wie Sober.V/.W geknackte GMX- und Web.de-Konten benutzt, ist derzeit noch unklar. Nach Angaben von Sophos kann er aber weiteren Schadcode nachladen und das System ausspionieren. Zusätzlich versucht er, Virenscanner zu deaktivieren.

Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten[3] von heise Security.

Siehe dazu auch:

* Beschreibung W32/Sober.Z [4] von Sophos

(dab[5]/c't) (dab/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/66482

Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/66166
[2] http://www.heise.de/security/news/meldung/43125
[3] http://www.heise.de/security/dienste/antivirus/
[4] http://www.sophos.com/virusinfo/analyses/w32soberz.html
[5] mailto:dab@ct.heise.de

Copyright © 2005 Heise Zeitschriften Verlag

22.11.2005, 10:49	#2
linux_blAcky Themenstarter Heerführer Registriert seit: Sep 2004 Ort: Köln / NRW Detektor: Bounty Hunter Tracker 1D Beiträge: 4,898	Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts Kaum ist die letzte Sober-Welle abgeklungen, tritt eine neue Variante auf den Plan und versucht, die Windows-Systeme von Anwendern zu infizieren. Anders als bei seinen Vorgängern Sober.V/.W[1] sind die Nachrichtentexte von Sober.Y/.Z sehr viel raffinierter. Unter anderem tarnt sich der Schädling als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden: Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll Im gezippten Anhang steckt natürlich der Wurm selbst drin, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei installiert. Mit einem ähnlichen Text war bereits Sober.C[2] Ende 2003 recht erfolgreich. Allerdings war dort als vermeintlicher Absender die Kripo Düsseldorf eingetragen. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y. Daneben gibt es noch weitere Textvarianten, mit denen der Wurm versucht, den Anwender zum Öffnen des Anhangs zu bewegen, etwa eine eBay-Kontoeröffnung und eine RTL-Gewinnbenachrichtigung. Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht. Technisch gesehen ähnelt Sober.Y laut F-Secure seinen Vorgängern; er verbreitet sich also von infizierten PCs mit einer eigenen SMTP-Engine. Ob er dabei wie Sober.V/.W geknackte GMX- und Web.de-Konten benutzt, ist derzeit noch unklar. Nach Angaben von Sophos kann er aber weiteren Schadcode nachladen und das System ausspionieren. Zusätzlich versucht er, Virenscanner zu deaktivieren. Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten[3] von heise Security. Siehe dazu auch: * Beschreibung W32/Sober.Z [4] von Sophos (dab[5]/c't) (dab/c't) URL dieses Artikels: http://www.heise.de/newsticker/meldung/66482 Links in diesem Artikel: [1] http://www.heise.de/security/news/meldung/66166 [2] http://www.heise.de/security/news/meldung/43125 [3] http://www.heise.de/security/dienste/antivirus/ [4] http://www.sophos.com/virusinfo/analyses/w32soberz.html [5] mailto:dab@ct.heise.de Copyright © 2005 Heise Zeitschriften Verlag __________________ Twitter ist eine typische Erscheinung der Generation ADS & SMS. Für einen Brief zu faul, für einen kompletten Satz zu dumm und für korrekte Grammatik zu cool.