Gloucester (pte, 21. Feb 2005 12:15) - Der englische Managed-Service-Provider für die E-Mail-Sicherheit, MessageLabs http://www.messagelabs.com, warnt vor einer neuen Version des Sober-Virus. "W32.Sober.K-mm" ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzuzeigen, die sich genau auf die neue Version des Virus beziehen. Dadurch sollen User verleitet werden, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden.
Um das Schadprogramm auszuführen muss der Empfänger den E-Mail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung. Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen "csrr.exe", "winlogon.exe" und "smss.exe". Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei "systemdrive%/windows/temp/doc_data-text.txt" in Programm Notepad angezeigt.
"Sober.K" ist ein Mass-Mailing-Virus, der sich selbst via E-Mail-Attachement verschickt. Der Virus wurde heute, Montag, identifiziert und stammt aus Deutschland. Gleichzeitig tauchte "Sober.K" laut MessageLabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1.400 Exemplare des neuen Wurms ins Netz gegangen.
