Virus lockt mit Schock-Video des „Kannibalen von Rotenburg“

„Bush plant einen neuen Krieg“ – mit dieser Nachricht versucht ein neuer Virus, weltweit Schaden anzurichen. Der Hersteller von „Antivir“, H+BEDV Datentechnik, hat jetzt vor dem neuen digitalen Übeltäter namens „Worm/Sober.B“ gewarnt. Der neue Wurm verwendet unter anderem die Betreffzeile: „Re: George W. Bush plans new wars“, um so den Anwender zum Öffnen des Dateianhangs zu bewegen. Betroffen sind die Betriebssysteme Windows 9x/NT/2000/XP. Deutsche User versucht der Wurm nicht mit Kriegsängsten, sondern mittels Sensationsgelüsten zu ködern: Gelockt wird mit einem Schocker-Video des so genannten „Kannibalen von Rotenburg“.

Der eigentliche Wurm versteckt sich im Attachment hinter dem angeblichen Link „www.gwbush-new-wars.com“. Wie einige Vorgänger machen sich die Virenautoren also zunutze, dass unbedarfte Surfer bei der Endung .com an eine URL, nicht aber an eine COM-Datei denken. H+BEDV rechnet deshalb mit „einer großen Verbreitung“.

Worm/Sober.B ist in Visual Basic 6 programmiert und hat eine Dateigröße von 54.784 Bytes. Er versendet sich über seine eigene SMTP Engine an alle Emailadressen, die er auf dem lokalen Datenträger findet. Nach dem Ausführen der Datei erscheint eine gefakte Fehlermeldung mit dem Inhalt „Header is missing“.

Beim Versand setzt der Wurm am Dateiende eine zufällig gewählte Zeichenkette ein. So kann die Dateigröße im Bereich von 54 bis 60 KBytes liegen. Beim Ausführen kopiert sich der Wurm im Hintergrund kopiert nach

  • C:WindowsSystem%variabler Dateiname1%.exe
    (54.784 Bytes)
  • C:WindowsSystem%variabler Dateiname2%.exe
    (54.784 Bytes)
  • C:WindowsSystemspooler.exe
    (54.784 Bytes)
  • C:WindowsSystemmscolmon.ocx

Das Hauptgefahrenpotenzial ergibt sich durch die zusätzliche Selbstschutzfunktion des Wurms. Dies bedeutet, dass sich Sober.B zweimal im System gleichzeitig startet. Ist der Wurm einmal aktiv, können die virulenten Dateien von den meisten Antivirenscannern nicht mehr erkannt werden. Der Zugriff des Virenscanners auf das System wird verweigert.

Der Text der Wurm-Email lautet: „Bush plans new wars again China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). More information:“. Das Mail-Attachment hat die Bezeichnung „gwbush-new-wars.com“ und suggeriert einen direkten Link zu der angeblichen Voting-Website.

Der in Visual Basic 6 entwickelte Wurm entpackt sich nach dem Öffnen mit der Fehlermeldung „Header is missing“, erstellt eine Datei mit den Email Adressen, die auf den lokalen Laufwerken gespeichert sind und versendet sich mit eigener SMTP-Engine weiter.

Die Datei ‚mscolmon.ocx‘ enthält die gesammelten Emailadressen. Mit Hilfe seiner eigenen STMP Engine versendet sich der Wurm an diese Adressen. Er durchsucht hierzu auf den lokalen Laufwerken Dateien mit folgenden Extensions:

.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.asp
.shtml
.shtm

Wer den Run Eintrag in der Windows Registry entfernt, während der Wurm aktiv ist, ist dennoch nicht geschützt: Er schreibt sich automatisch wieder in die Registry. Dies wurde mit einem Visual-Basic-Timer-Objekt gelöst, der in Intervallen die Registry den Run Eintrags abfragt.

Besonders gefährlich: Der Virus adressiert nicht nur englischsprachige Surfer mit seiner angeblichen Warnung vor einem Krieg gegen Iran, Kuba und China, sondern auch Deutsche: Hier wird versucht, mit dem so genannten „Kannibalen von Rotenburg“ zum Klick zu verleiten. In der Betreffzeile steht geschrieben: „Fwd: Der Kannibale von Rotenburg“. Im Body ist folgender Text zu lesen:


Entschuldigen Sie bitte diese überaus deutliche Betreffzeile!
Aber ein neuer
Dialer macht mit dieser Überschrift unzählige User zu
Opfern.
Die User
werden mit dem versprechen gelockt, sich das äusserts abscheuliche Tat- Video
anzuschauen zu dürfen. Stattdessen aber, installiert sich ein sehr teurer Dialer
und ein Virus
auf dem PC.
Da aber unzählige User auf diese Finte
hereinfallen, haben wir mit
Zustimmung des Bundeskriminalamtes BKA, eine
Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
Natürlich sind diese
Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu
gelangen, müssen Sie zuerst bestätigen, dass

Sie das 18 Lebensjahr
bereits vollendet haben.
Wir bitten sie ausdrücklichst, keine Kinder diese
Seite einsehen zu
lassen.
I.A.: Dieter BXXXXn
—– MultiMedia AG
München ia. BKA (ORG. Rund-Mail V6.02)
—– Geschäftsführer: Michael
LXXXXXXxn (xxxxxxx) FAX: xxxxxx

Der Anhang hat hier den Namen Server.com

ZDNet.de Redaktion

Recent Posts

Starbucks von Cyberattacke betroffen

Ransomware-Angriff auf die KI-gesteuerte Lieferkettenplattform Blue Yonder hat weitreichende Auswirkungen.

11 Stunden ago

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

15 Stunden ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

15 Stunden ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

2 Tagen ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

2 Tagen ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago