Achtung: Wurm als MS-Patch getarnt

8. März 2004

     

Mit einer gefälschten Microsoft-Absenderadresse und einem deutschsprachigen Text versucht Sober.D, User zur Selbstinfizierung ihrer Systeme zu bringen. Er gibt vor, ein Microsoft-Patch gegen MyDoom zu sein. Der neue Wurm, der auch unter dem Namen Roca.A bekannt ist, treibt seit vergangener Nacht sein Unwesen. Meist taucht er mit deutschem Nachrichtentext und der Betreffzeile "Microsoft Alarm: Bitte lesen!" auf, es gibt in aber auch in englischsprachigen Varianten.

Als Absender kommen verschiedene Adressen zum Einsatz, darunter Info, Update, Help, Patch, Alert und News, alle @microsoft.de. Der eigentliche Wurm-Code findet sich in der angehängten Datei im .zip- oder .exe-Format.


Der User muss den Dateianhang selber ausführen, damit der Virus installiert und aktiviert wird. Er kopiert sich darauf ins Windows-Verzeichnis und registriert sich selber, so dass er bei jedem Systemstart ausgeführt wird. Sober.D versendet sich über eine eigene SMTP-Engine weiter.
Aktuelle Signatur-Dateien für Sober.D/Roca.A wurden bereits von den meisten Herstellern von Anti-Virensoftware zum Download bereitgestellt. (IW)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER