Vorsicht! Sober versteckt sich hinter einem angeblichen Klassenfoto

Verbreitung: *****

Schaden: *****

Vorsicht! Sober versteckt sich hinter einem angeblichen Klassenfoto
10.05.2011

Mit einem angeblichen Klassenfoto versucht
der Wurm Sober das System zu kapern. Sollten Sie eine E-Mail mit diesem Inhalt erhalten, löschen Sie diese sofort.
Im Bild sehen Sie das Logo des Viren-Tickers,
der Sie vor Viren- und Trojaner warnt.


Eine neue Sober-Variante ist unterwegs.
Sie wird in deutscher und englischer Sprache per E-Mail
an viele Anwender in ganz Deutschland verschickt.
Im Anhang enthalten die E-Mails eine ZIP-Datei,
mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip",
die einen Wurm der Sober-Familie enthält.

Wird dieses ZIP-File ausgeführt,
zeigt Wurm Sober.Q ein Meldungsfenster mit dem Text „Error in packed file“.
Anschließend installiert sich der Wurm im betreffenden System.

Hier finden Sie Details zur E-Mail mit der Schadsoftware

Die E-Mail hat folgendes Aussehen

Betreff: „Klassentreffen“ oder „New Password“
Dateianhang: ZIP-Archiv mit der Bezeichnung "KlassenFoto.zip" bzw. "pword_change.zip"
Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Folgende Datei wird erstellt: %WinDIR%ConnectionStatusservices.exe

Folgender Eintrage wird in der Registry hinzugefügt:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun
"%WinDIR%\ConnectionStatus\services.exe"