Neuer Internet-Wurm Sober.C mit deutschem Text

Antiviren-Hersteller warnen derzeit Anwender des Betriebssystems Microsoft Windows (9x/NT/ME/2000/XP) vor einem neuen Wurm namens «Worm/Sober.C». Der neue Wurm verwendet vor allem deutsche Betreff-Zeiten, beispielsweise «Sie sind ein Raubkopierer» oder «Ermittlungsverfahren wurde eingeleitet» und nutzt damit unter anderen die gegenwärtige Diskussion der illegalen Downloads über Tauschbörsen und beschuldigt den Empfänger Filme, Software oder MP3s herunter geladen zu haben.

Im E-Mail-Text wird unter anderem behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet wurde. Als E-Mail-Anhang ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die tatsächlich aber den Wurm enthält. Der wurm schickt aber auch Mails mit dem Betreff: «Klassentreffen», «Testen Sie Ihren IQ», «Sie drohen mir», «Ich hasse dich», usw. Andere Varianten des Wurms warnen vor einem neuen Dialer und einem Trojaner, der sich angeblich auf dem Rechner des Empfängers befindet. Manchmal ist der Test auch in englisch geschrieben.

Während der Text eher zur Verunsicherung führt und zum Öffnen des Anhangs bewegen soll, ist letzteres um einiges gefährlicher. Sobald sich der Wurm installiert, gibt er eine gefälschte Fehlermeldung aus und kopiert sich dreimal in das Windows-Systemverzeichnis. Seinen eigenen SMTP-Server nutzt er dazu, sich an alle auf dem infizierten PC auffindbaren E-Mail-Adressen weiterzusenden. Die Absender-Adresse wird dabei gefälscht! Ist Sober.C einmal aktiv, blockiert er auch die meisten Antivirenscanner.

Um den Wurm wieder loszuwerden sollte man die Signaturen seines Virenscanners aktualisieren. Fast alle Hersteller bieten bereits entsprechende Updates an. Alternativ kann auch as kostenlose Tool Avert Stinger von McAfee verwendet werden.