Deutschsprachige Service-Mail führt Anwender in die Irre

März 08, 2004 Sophos Press Release

Die Virenforscher von Sophos warnen die Anwender vor einem zweisprachigen Sicherheits- Patch, das angeblich von Microsoft stammen soll und sich als Schutz gegen den MyDoom Wurm ausgibt.

Der W32/Roca-A Wurm, der auch als W32/Sober-D bekannt ist, wurde bereits mehrfach im Umlauf gesehen. Im E-Mail-Anhang befindet sich eine Datei mit einer EXE- oder ZIP-Endung. Sobald diese Datei aktiviert wird, beginnt der Wurm im infizierten System einen Trojaner zu installieren und sich zudem an das gesamte Adressbuch des Computeranwenders zu versenden. Stellt das Schadprogramm fest, dass es an eine deutsche E-Mail-Adresse unterwegs ist, ändert sich der E-Mail-Text vom Englischen ins Deutsche. Die Betreffzeile wird zu "Microsoft Alarm: Bitte Lesen!" und der Fließtext lautet wie folgt:

Neue Virus-Variante W32.Mydoom verbreitet sich schnell. Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner! Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu schützen!

+++ 2004 Microsoft Corporation. Alle Rechte vorhanden. +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1 +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Die ZIP- oder EXE-Datei im E-Mail-Anhang kann als "Patch", "MS-Security", "MS-UD" oder "UpDate" sowie "sys-patch" gefolgt von einer wahllosen Zahlenfolge benannt sein.

"Die jüngste Brut des Sober Wurms versucht, vom derzeit herrschenden Zweifel an der E-Mail-Sicherheit zu profitieren", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "In den letzten zwei Wochen brach der Strom an neuen Viren im Umlauf nicht ab, darunter auch zwei Varianten von MyDoom. Anwender sollten sich deshalb von scheinbaren Sicherheits-Patches per E-Mail nicht austricksen lassen. Der einzige Weg, ein Sicherheits- Patch zu bekommen, ist es sich von Hersteller- Websites herunterzuladen."

"Wie bereits Sober-C in den letzten Monaten gezeigt hat, können mehrsprachige Viren um ein Vielfaches erfolgreicher sein, da sie in der jeweiligen Muttersprache weniger Verdacht schöpfen lassen", fährt Gernot Hacker fort. "Für Laien mag der E-Mail-Text von Roca-A als ein offizieller Text von professionellen Unternehmen wie eben Microsoft erscheinen, aber trotzdem sollte sich kein Anwender täuschen lassen. Microsoft verschickt Sicherheits-Patches nicht per E-Mail. Anwender und Unternehmen sollten deshalb sicherstellen, dass ihre Antiviren-Software immer aktuell ist."

Weitere Informationen über den Sober-D/Roca-A Wurm finden Sie in der Virenanalyse