Wurm als MS-Patch getarnt
Sober.D enthält deutschsprachigen Text und gibt sich als Microsoft-Patch gegen MyDoom aus.
8. März 2004
Mit einer gefälschten Microsoft-Absenderadresse und einem deutschsprachigen Text versucht Sober.D, User zur Selbstinfizierung ihrer Systeme zu bringen. Er gibt vor, ein Microsoft-Patch gegen MyDoom zu sein.
Der neue Wurm, der auch unter dem Namen Roca.A bekannt ist, treibt seit vergangener Nacht sein Unwesen. Meist taucht er mit deutschem Nachrichtentext und der Betreffzeile "Microsoft Alarm: Bitte lesen!" auf, es gibt in aber auch in englischsprachigen Varianten. Als Absender kommen verschiedene Adressen zum Einsatz, darunter Info, Update, Help, Patch, Alert und News, alle @microsoft.de. Der eigentliche Wurm-Code findet sich in der angehängten Datei im .zip- oder .exe-Format.
Sober.D/Roca.A nutzt keine Sicherheitslücken, sondern setzt auf einen uralten Trick, der aber offenbar immer noch funktioniert: die Ausnutzung der Unwissenheit und Angst der Anwender. Offensichtlich ist noch immer nicht überall bekannt, dass kein Software-Hersteller Patches per E-Mail verschickt.
Der User muss den Dateianhang selber ausführen, damit der Virus installiert und aktiviert wird. Er kopiert sich darauf ins Windows-Verzeichnis und registriert sich selber, so dass er bei jedem Systemstart ausgeführt wird. Sober.D versendet sich über eine eigene SMTP-Engine weiter.
Aktuelle Signatur-Dateien für Sober.D/Roca.A wurden bereits von den meisten Herstellern von Anti-Virensoftware zum Download bereitgestellt.
Der neue Wurm, der auch unter dem Namen Roca.A bekannt ist, treibt seit vergangener Nacht sein Unwesen. Meist taucht er mit deutschem Nachrichtentext und der Betreffzeile "Microsoft Alarm: Bitte lesen!" auf, es gibt in aber auch in englischsprachigen Varianten. Als Absender kommen verschiedene Adressen zum Einsatz, darunter Info, Update, Help, Patch, Alert und News, alle @microsoft.de. Der eigentliche Wurm-Code findet sich in der angehängten Datei im .zip- oder .exe-Format.
Sober.D/Roca.A nutzt keine Sicherheitslücken, sondern setzt auf einen uralten Trick, der aber offenbar immer noch funktioniert: die Ausnutzung der Unwissenheit und Angst der Anwender. Offensichtlich ist noch immer nicht überall bekannt, dass kein Software-Hersteller Patches per E-Mail verschickt.
Der User muss den Dateianhang selber ausführen, damit der Virus installiert und aktiviert wird. Er kopiert sich darauf ins Windows-Verzeichnis und registriert sich selber, so dass er bei jedem Systemstart ausgeführt wird. Sober.D versendet sich über eine eigene SMTP-Engine weiter.
Aktuelle Signatur-Dateien für Sober.D/Roca.A wurden bereits von den meisten Herstellern von Anti-Virensoftware zum Download bereitgestellt.
Artikel kommentieren
