Tettnang (pte/06.10.2005/13:52) - Ein gefährlicher Wurm ist seit heute im deutschsprachigen Internet-Bereich im Umlauf. Seit vergangener Nacht verbreitet sich der Klassentreffen-Wurm explosionsartig via E-Mail. Sober.Q ködert seine Opfer mit einem vermeintlichen Foto eines Klassentreffens. Im Anhang befindet sich eine Zip-Datei mit dem Namen KlassenFoto.zip, die den Schadcode enthält, berichtet das Sicherheits-Unternehmen H+BEDV Datentechnik.
"Um 11.55 Uhr ist ein weiterer Wurm aufgetaucht, der sich über Spamlisten verteilt", sagte Thomas Jäckle von H+BEDV gegenüber pressetext. Im Anhang befindet sich die Datei Privat-Foto.zip. Dabei handelt es sich um einen so genannten Dropper, der Sober.Q ausführt. Die Verbreitung wird dadurch noch zusätzlich beschleunigt
Wird die Datei ausgeführt, zeigt der Wurm ein gefälschtes Error-Meldungsfenster. Wie seine Vorgänger enthält die aktuelle Form des Wurms Sober.Q eine eigene SMTP-Engine, mit der er bestimmte Dateiendungen des befallenen Rechners nach Email-Adressen absucht. Ist er fündig geworden, verschickt er sich automatisch an die Adressen weiter, berichtet das Antivirus-Unternehmen. Die E-Mails weisen in der Betreffzeile "FWD: Klassentreffen" auf und werden an alle deutschsprachigen Domains verschickt.
Auf infizierten Systemen trägt sich der Wurm in die Registry ein, so dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Schädling eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.
