Ein gefährlicher Wurm ist seit heute im deutschsprachigen Internet-Bereich im
Umlauf. Seit vergangener Nacht verbreitet sich der Klassentreffen-Wurm
explosionsartig via E-Mail. Sober.Q ködert seine Opfer mit einem vermeintlichen
Foto eines Klassentreffens. Im Anhang befindet sich eine Zip-Datei mit dem Namen
KlassenFoto.zip, die den Schadcode enthält, berichtet das
Sicherheits-Unternehmen H+BEDV Datentechnik."Um 11.55 Uhr ist ein weiterer Wurm aufgetaucht, der sich über Spamlisten
verteilt", sagte Thomas Jäckle von H+BEDV gegenüber pressetext. Im Anhang
befindet sich die Datei Privat-Foto.zip. Dabei handelt es sich um einen so
genannten Dropper, der Sober.Q ausführt. Die Verbreitung wird dadurch noch
zusätzlich beschleunigt
Wird die Datei ausgeführt, zeigt der Wurm ein
gefälschtes Error-Meldungsfenster. Wie seine Vorgänger enthält die aktuelle Form
des Wurms Sober.Q eine eigene SMTP-Engine, mit der er bestimmte Dateiendungen
des befallenen Rechners nach Email-Adressen absucht. Ist er fündig geworden,
verschickt er sich automatisch an die Adressen weiter, berichtet das
Antivirus-Unternehmen. Die E-Mails weisen in der Betreffzeile "FWD:
Klassentreffen" auf und werden an alle deutschsprachigen Domains verschickt.
Auf infizierten Systemen trägt sich der Wurm in die Registry ein, so
dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht
der Schädling eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet
sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu
werden die Absenderadressen gefälscht, so dass der eigentliche Versender der
Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.