Sober.Q-Wurm verbreitet sich explosionsartig in Deutschland

Ein gefährlicher Wurm ist seit heute im deutschsprachigen Internet-Bereich
im Umlauf.Seit vergangener Nacht verbreitet sich der Klassentreffen-Wurm
explosionsartig via E-Mail.Sober.Q ködert seine Opfer mit einem vermeintlichen
Foto eines Klassentreffens. Im Anhang befindet sich eine Zip-Datei mit dem
Namen KlassenFoto.zip, die den Schadcode enthält,berichtet das
Sicherheits-Unternehmen H+BEDV Datentechnik.

"Um 11.55 Uhr ist ein weiterer Wurm aufgetaucht, der sich über Spamlisten verteilt",
sagte Thomas Jäckle von H+BEDV gegenüber pressetext. Im Anhang befindet sich
die Datei Privat-Foto.zip. Dabei handelt es sich um einen so genannten Dropper,
der Sober.Q ausführt. Die Verbreitung wird dadurch noch zusätzlich beschleunigt.
Wird die Datei ausgeführt, zeigt der Wurm ein gefälschtes Error-Meldungsfenster.

Wie seine Vorgänger enthält die aktuelle Form des Wurms Sober.Q eine eigene
SMTP-Engine,mit der er bestimmte Dateiendungen des befallenen Rechners
nach Email-Adressen absucht.Ist er fündig geworden, verschickt er sich automatisch
an die Adressen weiter, berichtet das Antivirus-Unternehmen. Die E-Mails weisen
in der Betreffzeile "FWD: Klassentreffen"auf und werden an alle deutschsprachigen
Domains verschickt.

Auf infizierten Systemen trägt sich der Wurm in die Registry ein, so dass er bei jedem
Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Schädling
eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine
eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die
Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail
nicht ohne weiteres ermittelt werden kann.