Ein Wurm, der vor sich selber warnt

MessageLabs, ein in England beheimateter Managed-Service-Provider, warnt vor einer Sober-Variante namens W32.Sober.K-mm. Dieser sei in der Lage, verschiedenste Warnungen der unterschiedlichen Anti-Viren-Provider anzuzeigen, die vor eben genau diesem Wurm warnen.

Durch diesem Trick sollen die Empfänger der wurmverseuchten Mails dazu verleitet werden, den mitgelieferten Anhang zu öffnen und um den dort angeblich angebotenen, angeblich immunisierenden Patch, herunterzuladen.

Ist das Schadprogramm erst ausgeführt, durchsucht es den Rechner nach E-Mail-Adressen und sendet sich selbstständig in entweder deutscher oder englischer Sprache weiter. Der Wurm installiert auf der befallenen Windows-Maschine mehrere ausführbare Dateien mit den Namen „csrss.exe“, „winlogon.exe“ und „smss.exe“. In der Registry hinterläßt er noch einen Eintrag, dass er bei jedem Neustart automatisch mit ausgeführt wird. Dem nicht genug, soll schlußendlich noch der Inhalt der Datei „systemdrive%/windows/temp/doc_data-text.txt“ im Windows-Notepad angezeigt werden.

Laut MessageLabs wurde der Wurm erst heute identifiziert. Als Herkunft wird Deutschland angegeben. Allerdings tauchte er auch nahezu zeitgleich in England, Frankreich und den USA auf. Innerhalb von gerade mal drei Stunden sei Sober.K den Security-Experten bisher 1.400 mal ins Netz gegangen.