Sober-G verbreitet sich rasant

Seit dem Wochenende macht sich eine neue Sober-Variante rasant auf Rechnern weltweit breit. Der Mailwurm Sober-G (W32/Sober-G) verwendet laut Sophos eine ganze Reihe von verschiedenen Betreffzeilen, wie zum Beispiel „Mail Delivery failure“, „Your Password“ und „Registration confirmation“.

„Diese neueste Variante des Sober-Wurms scheint die Computernutzer kalt zu erwischen, nachdem sich alle von den Attacken des Sasser-Wurms erholen“, kommentierte Sophos-Spezialist Gernot Hacker. Obwohl inzwischen fast jeder dank des berüchtigten Sasser-Wurms über die Viren-Problematik Bescheid wisse, gebe es immer noch PC-Besitzer, die ihre Rechner nicht mit aktueller Antiviren-Software schützen.

Bei dem neuen Schädling handelt es sich um einen Massmailing-Wurm, der sich an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. Wenn er erstmals ausgeführt wird, erstellt der Wurm eine TXT-Datei im Temp-Ordner und zeigt den Inhalt dieser Datei mit Hilfe von NOTEPAD.EXE an. Die Textdatei beginnt mit dem Text:

File not found
Special -UnZip Data- Module is missing
Open with Notepad?
Converted_
notepad

Als Betreffzeile kommen unter anderem folgende Botschaften zum Einsatz:
hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God i’ts
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i’ve got your mail
Sorry, that’s your mail
why do you do that?

Die angehängte Datei hat einen zufällig erzeugten Namen und eine ZIP-Erweiterung.