Sie besitzen Raubkopien!
Computerkriminelle missbrauchen den Namen des Bundeskriminalamts, um massenhaft gefährliche neue Varianten des "Sober"-Wurms zu verbreiten. Die gefälschten eMails wollen mit Betreffzeilen wie "Sie besitzen Raubkopien" oder "Ermittlungsverfahren wurde eingeleitet" die Empfänger dazu überlisten, den verseuchten Anhang der eMail zu öffnen.
Wurm beschlagnahmt Rechner
Der Inhalt der gefälschten eMails besagt, dass "der Inhalt" des Rechners als "Beweismittel sichergestellt" und gegen den Empfänger angeblich ein Ermittlungsverfahren eingeleitet worden sei. Sicherheitsexperten raten dringend davor ab, den wurmverseuchten Anhang der eMails zu öffnen. Allen Empfängern ist angeraten, die eMails am besten ungelesen zu löschen. Unterzeichnet sind die gefälschten eMails mit dem Namen des BKA-Vizepräsidenten Jürgen Stock, doch die Sober-Autoren versuchen ihre Opfer auch mit dem guten Ruf von Günther Jauch zu manipulieren.
Wurm lockt mit Millionenchance
Die neuen Ableger der Sober-Familie setzen nicht allein auf den Schockeffekt eines angekündigten Ermittlungsverfahrens, um verschreckte Empfänger zum Öffnen des wurmverseuchten Anhangs zu verleiten. Auch die Aussicht auf einen hohen Geldgewinn nutzen die Wurm-Autoren: Eine weitere Variante von Sober lockt mit der Millionenchance. Der Empfänger sei ausgewählt worden, einer von Günther Jauchs Kandidaten in der Sendung "Wer wird Millionär" zu sein. Nähere Informationen finden sich angeblich in dem - wurmverseuchten - Anhang.
Ein Nutzerkonto bei eBay
Eine weitere Variante bedient sich eines eher alten und billigen Tricks. Unter dem Betreff "Sehr geehrter Ebay-Kunde" kündigt der Wurm dem Empfänger an, unter seinem Namen sei ein neues Benutzerkonto bei dem Internetauktionshaus eröffnet worden. Zur Bestätigung solle der Empfänger ein beigefügtes Formular ausfüllen. Pflichtbewusste Anwender, die den Inhalt des Anhangs kennen lernen möchten, erleben allerdings eine böse Überraschung.
Sober schaltet Virenschutz ab
Wird der gepackte Anhang ausgeführt, öffnet Sober einen ZIP-Entpacker. Wer nun versucht, die eingefügte Datei zu öffnen, bekommt eine Fehlermeldung zu sehen: "Error: Text-File not complete". Zudem deaktiviert der Wurm Schutzprogramme wie die Windows XP-Firewall und vorhandene Antiviren-Software. Sober manipuliert Windows-Systeme, damit der Versand von infizierten eMails beim nächsten Systemstart automatisch gestartet wird. Dazu durchforstet der Wurm den PC nach brauchbaren Mail-Adressen.
Wurm wühlt nach Passwörtern
Aber Sober missbraucht infizierte PCs nicht nur als Mail-Schleuder. Interessanter ist die Beobachtung, dass Sober auf befallenen PCs ein Programm zum Auslesen gespeicherter Passwörter ablegt. Nach Erkenntnissen der Virenforscher bei Kaspersky Labs sucht Sober nach im Internet Explorer und Outlook Express gespeicherten Passwörtern. Zwar fehlt Sober bisher die Möglichkeit, die gestohlenen Daten zu versenden, dies könnte sich aber rasch ändern. Der Antivir-Hersteller H+BEDV stellte bei seiner Analyse fest, dass Sober sich in kürze selbst aktualisieren soll. Ein Trick, den der Sober-Wurm bereits in der Vergangenheit nutze, um Antiviren-Software auszuhebeln. Sobald sich der Code des Wurms verändert, erkennt ihn derartige Software nicht mehr - ein schnelles Update ist also dringend nötig.
Schneller als Sober reagieren
Wer eine Sober-Mail erhält, sollte sie am besten umgehend löschen. Auf keinen Fall sollten Sie den Anhang öffnen. Generell gilt: Um sich vor Internet-Attacken zu schützen, sollte jeder Anwender, der seinen Rechner mit anderen Computern verbindet, eine Firewall und einen Virenscanner mit aktuellen Virensignaturen benutzen. Besteht der Verdacht auf Wurmbefall, kann ein Online-Scan oder Removal-Tool wertvolle Hilfe leisten. Die meisten Hersteller von Antivirensoftware stellen bereits aktualisierte Erkennungsdateien für ihre Produkte zu Verfügung. Anwender sollten also schnellstmöglich ihre Virenscanner auf den neusten Stand bringen. Surfer, die das LiveUpdate des T-Online SicherheitsPakets nutzen, sind vor dieser aktuellen Sober-Variante bereits geschützt.
Dem Programmierer auf der Spur?
Durchaus ungewöhnlich ist die Meldung, die das bayerische Landeskriminalamt bereits am vergangen Montag über eine bevorstehende Sober-Welle herausgab. In einer Pressemitteilung wies das LKA darauf hin, das für den 15. November ein neuer Sober-Wurm zu erwarten sei. Noch immer ist fraglich, ob die LKA-Warnung ein Hinweis darauf ist, dass die Fahnder dem oder den Programmierern des Sober-Wurm auf der Spur sind. Doch auch jeder Anwender selbst kann viel tun, um sich vor Sober und Konsorten zu schützen.
quelle: [URL=http://oncomputer.t-online.de/c/60/91/35/6091350,pt=self,si=0.html]t-online[/URL]
