Klassentreffen mit Wurm
Nur eine billige Kopie
Programmiertechnisch hat der Sober-Wurmautor offenbar nicht allzu viel zu bieten. Schon der erste Wurmsprössling aus der Familie der Sober-Würmer war in großen Teilen nur eine reichlich billige Kopie. Sein großes Vorbild hörte auf den Namen Sobig.F und gehörte zu den erfolgreichsten Schadprogrammen des Jahres 2003. Sobig.F öffnete Systemhintertüren und lud weitere Schadprogramme aus dem Internet nach. Sein Auftrag lautete: Mach aus deinem Wirtsrechner eine fernsteuerbare Spamschleuder. Sobig.F wurde ungeniert zu Sober.A verwurstet. Im Unterschied zu seinem großen Vorbild wurde Sober.A zweisprachig Deutsch und Englisch auf die Netzwelt losgelassen. Sein eigentlicher Erfolg beruhte nicht auf der programmiertechnischen Raffinesse seines Urhebers, sondern auf z. T. ebenso dreisten wie effektiven Social-Engineering-Tricks. Die neue Variante macht da keine Ausnahme.
Einladung zum Klassentreffen
Tarnung ist alles, meint der Sober-Autor und schickt seine infizierten Emails diesmal u. a. als gefälschte Einladung zum Klassentreffen durchs Netz. Im Nachrichtentext der Trägermails sucht eine „ehemalige Schulkameradin“ nach Mitschülern für ein Klassentreffen:
„hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)
liebe grüße:“
Unterzeichnet ist die Mail mit Rita, Sandra, Nicole, Hannelore, Kerstin oder Elke. Im Mailanhang befindet sich die Datei „KlassenFoto.zip“. Sie enthält jedoch – wer hätte das gedacht? – kein altes Klassenfoto, sondern das eigentliche Wurmprogramm.
Alternativer Nachrichtentext
Abhängig von der Länderdomainendung verschickt sich Sober.Q auch mit englischem Nachrichtentext – allerdings wenig originell als falsch zugestellte Email. Die Verbreitung im englischen Sprachraum dürfte deshalb eher gering ausfallen. Diese Variante gibt es im Übrigen auch auf Deutsch. Hier heißt es im Nachrichtentext:
„Danke für Ihre Mail .... Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an mich. Ich kenne sie aber nicht!
Oder Ihr Provider hat die Mail falsch weiter geleitet!?
Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.
MfG Sender“
Nichts Neues bei Sober.Q
Business as usual bei Sober.Q: Wie alle seine Wurmgeschwister öffnet Sober.Q Systemhintertüren und ist in der Lage, beliebige Schadprogramme aus dem Internet von folgenden Domains nachzuladen: people.freenet.de, scifi.pages.at, home.pages.at, free.pages.at und home.arcor.de. Damit er sich in aller Ruhe im infizierten Rechner einnisten kann, werden Antivirenscanner und Firewalls automatisch deaktiviert. Wie nahezu jedes andere Wurmprogramm auch, sucht Sober.Q im befallenen PC anschließend nach sämtlichen Emailadressen und verschickt sich per eigener SMTP-Maschine. Weitere Schadfunktionen sind derzeit nicht bekannt.
Welchem Zweck dient Sober.Q?
Was der Sober-Schreiber mit seiner neuen Kreatur bezweckt, ist ebenfalls noch unklar. Frühere Varianten dienten ihm dazu, die infizierten PCs zu fernsteuerbaren Massenmailern umzufunktionieren, über die er Spammails mit rechtsradikalen Hasstexten verschickte. Als besonders „erfolgreich“ erwies sich dabei jene Sober-Variante, die sich als offizielle „Gewinnbenachrichtigung“ bei der Ticketverlosung zur Fußballweltmeisterschaft 2006 in Deutschland tarnte. Das Stichwort Fußball-WM zog – die Mails verbreiteten sich im Mai dieses Jahres rasant im deutschen Netz. Anschließend brachte der Sober-Schreiberling eine große Spamlawine ins Rollen. Ihr Inhalt: unverbesserlicher Schnee von gestern…
Zurück zur News-Übersicht
