Neuer Internet-Wurm gibt sich als Microsoft-Patch aus

Seit Monatg, den 08. März, ist ein neuer internet-Wurm im Umlauf. Der als Sober.D oder Roca.A getaufte Schädling gibt vor, ein Patch für Windows-Systeme gegen den MyDoom-Wurm zu sein. Die wie üblich gefälschte Absender-Adresse macht vor, dass die E-Mail von Microsoft kam.

Der Wurm versendet sich unter anderem mit deutschsprachigem Nachrichtentext und passender Betreffzeile, («Microsoft Alarm: Bitte Lesen!» oder «Microsoft Alert: Please Read!») kann jedoch auch mit englischen Text kommen. Dieser Warnt vor dem sich schnell ausbreitenden Wurm W32.Mydoom. Der Anhange ist variabel und besitzt die Dateierweiterungen .zip oder .exe und ist 33.792 Bytes (exe) oder 33.926 Bytes (zip) lang.

Der Wurm durchsucht auf dem PC mehrere Dateien auf enthaltene E-Mail-Adressen und verschickt sich über eine eigene SMTP-Engine weiter. Außerdem kopiert sich Sober.D im infizierten System unter verschiedenen Namen in das Windows-System-Verzeichnis. Der Name besteht aus einer Kombination der folgenden Wörter und einer EXE-Erweiterung: sys, host, dir, explorer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32. Außerdem trägt sich der Wurm in der Registry ein, um bei jedem PC-Start automatisch geladen zu werden. Außerdem werden im Windows-System-Verzeichnis Dateien Humgly.lkur, temp32x.data, wintmpx33.dat, yfjq.yqwm, zmndpgwf.kxx und mslogs32.dll angelget.

Wird derWurm zum ersten Mal ausgeführt, zeigt er ein Fenster mit folgender Meldung an: «This patch has been successfully installed.» Wenn der Wurm erneut ausgeführt wird, zeigt er ein Meldungsfenster mit folgender Meldung an: «This patch does not need to be installed on this system. Status: OK».

Die meisten Antiviren-Hersteller bieten bereits entsprechende Aktualisierungen für ihre Software an, mit denen Sober.D alias Roca.A sich entfernen lässt. Außerdem kann ein kostenloses Tool wie Stinger von NAI/McAfee benutzt werden.