Seit einigen Stunden verbreitet sich eine neue Sober-Variante stark, die erst von wenigen Viren-Scannern erkannt wird. Auf dem Heise-Mail-Server treffen derzeit reihenweise Mails mit dem Betreff: "Ich habe Ihre E-Mail bekommen!" ein. Der Text lautet:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Im Anhang findet sich auch tatsächlich eine ZIP-Datei namens "MailTexte.zip", bei deren Entpacken
mail_text-data.txt [viele Leerzeichen] .pif
entsteht. Offenbar weckt der plausible Text die Neugier und die Anwender übersehen die mit vielen Leerzeichen abgetrennte Dateiendung .pif, die auf eine ausführbare Datei hinweist. Wer die vermeintliche Textdatei öffnet, infiziert sein System mit dem neuen Wurm. Es ist jedoch nicht auszuschließen, dass der Schädling auch andere Texte und Dateinamen verwendet. Anwender sollten deshalb bei allen unverlangt zugesandten Mails mit Dateianhängen größte Vorsicht walten lassen.
Mit dem aktuellen Update erkennen derzeit Kaspersky, ClamAV, NOD32 und Sybari die Datei als Sober.l, Antivir meldet Sober.M und DrWeb erkennt den Schädling generisch als BACKDOOR.Trojan. Eine genauere Beschreibung des Wurms und seiner Auswirkungen liegt heise Security noch nicht vor.
Von heise.de
Gruß Soulmann
the_mic
Soulmann63
GarfTermy
