Sober-Autor wieder aktiv
Das Namenschaos hat kein Ende
Das Namenschaos ist wieder einmal perfekt. Beim Antiviren-Spezialisten Sophos heißt der neue Sober-Wurm Sober-R. McAfee hat ihn Sober.V getauft, beim BSI läuft die neue Sober-Variante unter Sober.S. Eigentlich sollte dieses Namenschaos der Vergangenheit angehören. Kürzlich hatte das United States Computer Emergency Readiness Team (US-CERT) angekündigt, im Rahmen seines Projekts Common-Malware-Enumeration-Website (CME) bei neuen Schadprogrammen für eine einheitliche Namensgebung zu sorgen. Alle Schadprogramme sollten eine spezifische ID bekommen, die von allen Antivirenfirmen übernommen werden sollte. Die Sicherheitsindustrie zeigte sich auch interessiert. Dennoch scheint die Kooperation nicht sonderlich gut zu funktionieren. Die letzte Sober-Variante, die das US-CERT listet, stammt vom 6. Oktober. Die neuen Varianten tauchen derzeit überhaupt noch nicht in der CME-Liste auf. Von einer einheitlichen Namensgebung scheint die Antivirenindustrie also nach wie vor meilenweit entfernt zu sein.
Unfreiwillig komisch
Die neue Sober-Variante (sie soll in Anlehnung an das BSI Sober.S genannt werden) wird mal wieder zweisprachig durchs Netz geschickt. Je nach Domain-Endung der Emailadresse kommt die Trägermail entweder deutschsprachig oder in holprigem Englisch in das heimische Email-Postfach. Die „englisch"-sprachige Mail beginnt mit der unfreiwillig komischen Selbsterkenntnis: „Sorry, sorry sorry, because,, my English is not the best!“ Die deutsche Textvariante besitzt die Betreffzeile „Ihre Mail“, erklärt frech „Hi, ich bin’s“ oder fragt den Empfänger: „Haben Sie diese E-Mail verschickt“. Der Nachrichtentext besteht u. a. aus folgenden Zeilen:
Guten Tag, jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen???
Ist wohl irgendein Fehler.
Ok, hier haben Sie sie wieder zurueck!
gruss
Solche Texte sollen den Empfänger neugierig machen und ihn dazu animieren, den infizierten Dateianhang zu öffnen.
Social Engineering von der Stange
Offenbar sind dem Sober-Autoren die zündenden Ideen abhanden gekommen. Frühere Versionen seines Schadprogramms kamen mit sehr viel knalligeren Betreffzeilen und Nachrichtentexten ins Haus. Furore machte insbesondere die Sober-Variante, deren Trägermail als offizielle „Gewinnbenachrichtigung“ bei der Ticketverlosung zur Fußballweltmeisterschaft 2006 in Deutschland getarnt war. Der neue Nachrichtentext kommt dagegen von der Stange. Er wird nur wenige Email-Nutzer neugierig machen und zum Öffnen des Dateianhangs bewegen.
Billige Kopien
Um Antiviren-Scanner zu täuschen, ist der Email-Anhang in einer Zip-Datei verpackt – ein keineswegs neuer Trick, der längst schon von anderen Schadprogrammschreibern zur Genüge getestet worden ist. Doch eine solche Vorgehensweise scheint zum Autoren des Sober-Wurms zu passen. Er neigt dazu, fremde Ideen zu kopieren. Schon die Ur-Variante seines Schadprogramms war lediglich eine reichlich billige Kopie des erfolgreichen Sobig-Wurms. Was der Sober-Autor mit seinen neuen Schadprogrammen bezweckt, ist derzeit noch nicht bekannt. Frühere Varianten verwandelten die infizierten PCs in fernsteuerbare Spamschleudern, mit denen rechtsradikale Propaganda unters vornehmlich deutsche Email-Volk gebracht wurde.
Zurück zur News-Übersicht
