Neuer "Sober"-Wurm verbreitet sich schnell

Die neue Variante verbreitet sich seit Montagabend mit rasanter Geschwindigkeit via E-Mail.

Der Wurm wurde um 17.00 Uhr über das Netz des deutschen Providers Web.de ins Netz geschickt. Innerhalb kürzester Zeit schlugen die Virenfilter des österreichischen Anti-Viren-Spezialisten Ikarus mehrere hundert Mal Alarm.

Der neueste Auswuchs trägt die Bezeichnung "W32.Sober.L" und existiert in einer deutschen und einer englischen Variante.

Gezippte Datei im Anhang
Bei der angehängten Datei handelt es sich um das Zip-File "MailTexte.zip" oder "Acc_text.zip", das wiederum eine ausführbare Datei [.pif] enthält.

Details zu "Sober.L" bei Ikarus

Verschickt sich weiter

Folgendes findet sich im Mailtext: "Hallo, jemand schickt ihre privaten Mails auf meinen Account. Ich schaetze mal, dass es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon sechs Mails! Ich habe alle Mailtexte im Texteditor kopiert und gezippt."

Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der Computer infiziert. Der Wurm befällt ausschließlich Windows-Systeme.

"Sober.L" untersucht den infizierten Computer dann nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen.

Außerdem versucht der Wurm Verbindungen zu mehreren Internet-Seiten aufzubauen. Besteht keine Verbindung zum Internet, versucht "Sober.L" Wählverbindungen zum Internet zu aktivieren.

Entfernung
Die Anti-Virus-Hersteller haben inzwischen kostenlose Tools zur Entfernung des Wurms bereitgestellt.

Download Removal-Tool von Ikarus