Der Rückblick auf die Malware-Aktivitäten der vergangenen Woche (14.-18.11.05) konzentriert sich auf den altbekannten Wurm Sober. Die neuesten Varianten AC, AD, AE, Af und AG verbreiteten sich zwischen Mittwoch dem 16. und Donnerstag dem 17.11. und infizierten innerhalb kürzester Zeit, hauptsächlich im deutschsprachigen Raum und den USA, IT Systeme.
Der Wurm verbreitet sich via E-Mail und infiziert folgende Windows Betriebssysteme: Windows 2003/XP/2000/NT/ME/98. Sober.AC befällt zudem noch Windows95 Systeme.
Der Schädling erreicht den PC in einem gepackten Archiv (.zip) mit variablem Dateinamen. Sobald die angehangene Datei, deren Icon dem des Texteditors ähnelt, gestartet wird, erscheint folgende Fehlermeldung: „Error: Text-file not complete“. Somit ist eine Infizierung schnell festzustellen. Einmal gestartet erzeugt der Wurm diverse Registry Einträge, um sicher zu stellen, dass er bei jedem Systemstart geladen wird. Nach erfolgreichem Befall suchen die Sober Varianten auf dem System nach E-Mail Adressen um sich an diese, mit Hilfe der eigenen SMTP Engine, zu verbreiten. Diese E-Mails beinhalten eine Kopie des Wurms und sind entweder in deutsch oder englisch verfasst. E-Mail Adressen mit den Endungen .de (Deutschland), .at (Österreich), .ch (Schweiz) oder .li (Liechtenstein) erhalten einen deutschen Text. An alle anderen gefundenen Adressen wird die englisch-sprachige Version versendet.
Alle Varianten erzeugen die Datei „Services.exe“ in dem Unterordner „CONNECTIONSTATUS/MICROSOFT“ des Windows Verzeichnisses. Diese Datei ist eine Kopie des Schädlings.
Sober.AC beendet zusätzlich den Prozess mrt.exe und ebenfalls einige Prozesse die diversen Sicherheits-Tools zugeordnet sind, sofern diese gerade aktiv sind, mit der Meldung „No Viruses, Trojans or Spyware found! Status: OK“. Hierbei handelt es sich unter anderem um folgende Prozesse: avwin., brfix, fixsob, fxsob, gcas, gcip, giantanti, guardgui., hijack, inetupd., microsoftanti, nod32., nod32kui, sober, s-t-i-n, stinger.
Abgesehen von der Verbreitung via E-Mail sowie der Tatsache, dass der massenhafte Mail-Versand die Systemperformance sowie den Netzwerk-Traffic belasten, haben die neuen Sober-Varianten keine destruktiven Eigenschaften.
Alle Varianten und weitere neue bekannte Malware erkennt und entfernt der kostenfreie Panda Software Online Viren Scanner „Panda ActiveScan“ den Sie unter der folgenden Adresse erreichen können: www.activescan.com
Detaillierte Informationen zu diesen und anderen bekannten Internetbedrohungen erhalten Sie in der Panda Software Online Virendatenbank die Sie unter folgendem Link erreichen: http://www.pandasoftware.com/....