Sophos warnt vor E-Mail-Wurm, der als Fußball-WM-Ticket-Benachrichtigung getarnt ist

Mai 03, 2005 Sophos Press Release


Sophos Produkte wurden am 2. Mai 2005 um 17.19 Uhr GMT automatisch aktualisiert, um vor Sober-N zu schützen.

Verweis auf Virenprüfung im Mailtext soll Empfänger täuschen

Der Computersicherheitsspezialist Sophos hat den Internet-Wurm W32/Sober-N am Nachmittag des 2. Mai 2005 "in the wild" identifiziert und stellt seit 17.19 Uhr ein Update dafür bereit. Der Wurm macht sich erneut einen aktuellen Anlass zu Nutze, indem er dem E-Mail-Empfänger vortäuscht, eine Nachricht zum Ticketkauf bei der Fußballweltmeisterschaft 2006 in Deutschland zu enthalten. Im Anhang der Mail befindet sich ein ZIP-Archiv, in dem sich angeblich weitere Informationen befinden sollen. Der Anhang enthält jedoch eine ausführbare Datei. Einmal ausgeführt, versendet sich der Wurm selbst an die E-Mail-Einträge des auf dem Computer befindlichen Adressverzeichnisses.

Erkennbar ist die verseuchte Mail unter anderem über folgende Betreffzeilen:
"Ihr Passwort",
"Ich bin's, was zum lachen :)",
"Glueckwunsch: Ihr WM Ticket",
"WM Ticket Verlosung" oder
"WM-Ticket-Auslosung".

Der E-Mail Text verweist dann auf weitere Informationen im Anhang, der den Wurm enthält. Besonders perfide: Eine Textzeile in der darauf verwiesen wird, dass das Mail von einem Virenscanner geprüft und kein Virus festgestellt wurde.

Die weltweiten Analysezentren von Sophos melden bereits eine hohe Verbreitung des Wurms, das Sophos Supportzentrum in Deutschland registriert ebenfalls eine ungewöhnlich hohe Zahl an Vorfällen.

Christoph Hardy, Security Consultant bei Sophos: "Ähnlich wie beim Tod des Papstes versuchen hier Virenautoren einen aktuellen Anlass zu missbrauchen, um ihre Schadprogramme zu verbreiten. Mit dem WM-Ticketverkauf scheinen sie hier ein erfolgreiches Ziel getroffen zu haben. In den letzten 24 Stunden beziehen sich über 60% der Meldungen auf W32/Sober-N."

Sophos weist darauf hin, dass ein Schutz vor derartigen Attacken nur mit einem ständig aktualisierten System besteht. Anwender sollten also am besten automatisch Updates ihres Virenschutzes beziehen, um so auch vor neu auftretenden und sich schnell verbreitenden Viren, Würmern und Trojanern geschützt zu sein. Außerdem betont Sophos erneut, wie wichtig der sensible Umgang mit E-Mail und Internet ist: Aufmerksame Empfänger können durchaus an Art und Inhalt des Mails erkennen, dass es sich um eine unerwünschte Nachricht handelt. Wenn sie die E-Mail löschen, ohne den Anhang zu öffnen, bleibt der Virus wirkungslos.

Weitere Informationen zu W32/Sober-N finden Sie in der Virenanalyse.