PandaLabs, das spanische Virenlabor von Panda Software, berichtet über eine neue Variante des bekannten Wurms "Sober". Die neue Version "Sober.Y" nutzt zwei unterschiedliche E-Mails zur Verbreitung. Die erste erreicht die Postfächer in englischer Sprache mit der Betreffzeile "Your new password". Diese E-Mail versucht die Nutzer zu täuschen indem sie ihn bittet, die Daten in der angehangenen Datei "pword_change.zip" zu überprüfen, da es sich um eine Passwort-Änderung handelt.
Die zweite Variante nutzt ebenfalls E-Mails zur Verbreitung, ist aber in deutscher Sprache verfasst. Sie versucht dem Nutzer zu suggerieren, dass es sich bei dem Dateianhang "Klassenfoto.zip" um ein Foto aus alten Schulzeiten handelt. Beide Dateien sind komprimiert und beinhalten die ausführbare Datei "PW_Klass.Pic.packed-bitmap.exe". Diese Datei ist eine Kopie des Wurms.

Wird diese Datei gestartet, erscheint eine CRC Fehlermeldung. Der Wurm jedoch wurde gestartet und beginnt unverzüglich mit dem Sammeln von E-Mail Adressen und versendet sich in der oben beschriebenen Weise an diese Adressen. Er nutzt dazu seine eigene SMTP Engine. Sobald die E-Mail Adressen auf .de (Deutschland), .ch (Schweiz), .at (Österreich) oder .li (Liechtenstein) enden versendet er die deutsche Version der E-Mail mit dem Dateianhang "KlassenFoto.zip". An alle anderen E-Mail Adressen wird die englische Version versendet.

Obwohl die Summe der bisher infizierten Systeme noch nicht so dramatisch ist, besitzt der Wurm Potential zur Verbreitung. Panda Software hat bereits die Virensignaturdatei aktualisiert und bittet alle Nutzer, die das automatische Update ausgeschaltet haben, eine manuelle Aktualisierung durchzuführen. Panda Software Kunden, die bereits die neuen TruPrevent Technologien einsetzen, bsp. in den Einzelplatzlösungen "Panda Titanium Antivirus 2005" und "Panda Internet Security Suite 2005", sind auch ohne Aktualisierung geschützt, da diese Technologien den Schädling anhand der Verhaltensanalyse erkennen.

Quelle: Pressemitteilung Panda Software Deutschland