Virus lockt mit Schock-Video des „Kannibalen von Rotenburg“

„Bush plant einen neuen Krieg“ – mit dieser Nachricht versucht ein neuer Virus, weltweit Schaden anzurichen. Der Hersteller von „Antivir“, H+BEDV Datentechnik, hat jetzt vor dem neuen digitalen Übeltäter namens „Worm/Sober.B“ gewarnt. Der neue Wurm verwendet unter anderem die Betreffzeile: „Re: George W. Bush plans new wars“, um so den Anwender zum Öffnen des Dateianhangs zu bewegen. Betroffen sind die Betriebssysteme Windows 9x/NT/2000/XP. Deutsche User versucht der Wurm nicht mit Kriegsängsten, sondern mittels Sensationsgelüsten zu ködern: Gelockt wird mit einem Schocker-Video des so genannten „Kannibalen von Rotenburg“.

Der eigentliche Wurm versteckt sich im Attachment hinter dem angeblichen Link „www.gwbush-new-wars.com“. Wie einige Vorgänger machen sich die Virenautoren also zunutze, dass unbedarfte Surfer bei der Endung .com an eine URL, nicht aber an eine COM-Datei denken. H+BEDV rechnet deshalb mit „einer großen Verbreitung“.

Worm/Sober.B ist in Visual Basic 6 programmiert und hat eine Dateigröße von 54.784 Bytes. Er versendet sich über seine eigene SMTP Engine an alle Emailadressen, die er auf dem lokalen Datenträger findet. Nach dem Ausführen der Datei erscheint eine gefakte Fehlermeldung mit dem Inhalt „Header is missing“.

Beim Versand setzt der Wurm am Dateiende eine zufällig gewählte Zeichenkette ein. So kann die Dateigröße im Bereich von 54 bis 60 KBytes liegen. Beim Ausführen kopiert sich der Wurm im Hintergrund kopiert nach

  • C:WindowsSystem%variabler Dateiname1%.exe
    (54.784 Bytes)
  • C:WindowsSystem%variabler Dateiname2%.exe
    (54.784 Bytes)
  • C:WindowsSystemspooler.exe
    (54.784 Bytes)
  • C:WindowsSystemmscolmon.ocx

Das Hauptgefahrenpotenzial ergibt sich durch die zusätzliche Selbstschutzfunktion des Wurms. Dies bedeutet, dass sich Sober.B zweimal im System gleichzeitig startet. Ist der Wurm einmal aktiv, können die virulenten Dateien von den meisten Antivirenscannern nicht mehr erkannt werden. Der Zugriff des Virenscanners auf das System wird verweigert.

Der Text der Wurm-Email lautet: „Bush plans new wars again China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). More information:“. Das Mail-Attachment hat die Bezeichnung „gwbush-new-wars.com“ und suggeriert einen direkten Link zu der angeblichen Voting-Website.

Der in Visual Basic 6 entwickelte Wurm entpackt sich nach dem Öffnen mit der Fehlermeldung „Header is missing“, erstellt eine Datei mit den Email Adressen, die auf den lokalen Laufwerken gespeichert sind und versendet sich mit eigener SMTP-Engine weiter.

Die Datei ‚mscolmon.ocx‘ enthält die gesammelten Emailadressen. Mit Hilfe seiner eigenen STMP Engine versendet sich der Wurm an diese Adressen. Er durchsucht hierzu auf den lokalen Laufwerken Dateien mit folgenden Extensions:

.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.asp
.shtml
.shtm

Wer den Run Eintrag in der Windows Registry entfernt, während der Wurm aktiv ist, ist dennoch nicht geschützt: Er schreibt sich automatisch wieder in die Registry. Dies wurde mit einem Visual-Basic-Timer-Objekt gelöst, der in Intervallen die Registry den Run Eintrags abfragt.

Besonders gefährlich: Der Virus adressiert nicht nur englischsprachige Surfer mit seiner angeblichen Warnung vor einem Krieg gegen Iran, Kuba und China, sondern auch Deutsche: Hier wird versucht, mit dem so genannten „Kannibalen von Rotenburg“ zum Klick zu verleiten. In der Betreffzeile steht geschrieben: „Fwd: Der Kannibale von Rotenburg“. Im Body ist folgender Text zu lesen:


Entschuldigen Sie bitte diese überaus deutliche Betreffzeile!
Aber ein neuer
Dialer macht mit dieser Überschrift unzählige User zu
Opfern.
Die User
werden mit dem versprechen gelockt, sich das äusserts abscheuliche Tat- Video
anzuschauen zu dürfen. Stattdessen aber, installiert sich ein sehr teurer Dialer
und ein Virus
auf dem PC.
Da aber unzählige User auf diese Finte
hereinfallen, haben wir mit
Zustimmung des Bundeskriminalamtes BKA, eine
Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
Natürlich sind diese
Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu
gelangen, müssen Sie zuerst bestätigen, dass

Sie das 18 Lebensjahr
bereits vollendet haben.
Wir bitten sie ausdrücklichst, keine Kinder diese
Seite einsehen zu
lassen.
I.A.: Dieter BXXXXn
—– MultiMedia AG
München ia. BKA (ORG. Rund-Mail V6.02)
—– Geschäftsführer: Michael
LXXXXXXxn (xxxxxxx) FAX: xxxxxx

Der Anhang hat hier den Namen Server.com

ZDNet.de Redaktion

Recent Posts

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

8 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

8 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

1 Tag ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

1 Tag ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

1 Tag ago

November-Patchday: Microsoft schließt Zero-Day-Lücken in Windows

Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…

1 Tag ago