TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung einer neuen SOBER-Variante zu verhindern. Der Mass-Mailing-Wurm verbreitet sich über infizierte Emails, die Nachrichtentext in deutscher und englischer Sprache enthalten können. WORM_SOBER.I verfügt zudem über die Fähigkeit, deutsche Domain-Namen zu erkennen. An diese Empfängeradressen sendet der Wurm dementsprechend Emails in deutscher Sprache, wodurch Anwender noch effizienter getäuscht werden. Frühere Versionen des SOBER-Wurms verbreiteten sich ausschließlich über Emails mit deutschsprachigen Text. Bislang wurde TREND MICRO das Auftreten dieses Malicious Code bereits vielfach aus Deutschland, Frankreich und Österreich gemeldet.
WORM_SOBER.I verfügt über eine eigene SMTP-Engine und durchsucht bestimmte Dateitypen gezielt nach Email-Adressen, an die sich der Wurm dann weitersendet. Davon ausgenommen sind Adressen, die spezielle, vom Virenprogrammierer definierte Zeichenfolgen enthalten. Bei der Weiterverbreitung beeinträchtigt WORM_SOBER.I die Leistung des infizierten Systems und belegt erhebliche Netzwerkbandbreiten, was in Unternehmen zu einer reduzierten Mitarbeiterproduktivität führen kann.
WORM_SOBER.I verwendet Social Engineering, um Anwender zum Start des Dateianhangs zu bewegen. So erwecken die Titel der infizierten Nachrichten oftmals den Eindruck, es handele sich um Systemmeldungen über unzustellbare Emails oder Benachrichtigungen zu Anwender-Passwörtern. Darüber hinaus wird im Nachrichtentext behauptet, dass die Email von verschiedenen AntiViren-Produkten geprüft wurde und unbedenklich ist.
Um die Infektion sicherzustellen, hinterlässt WORM_SOBER.I gleich zwei ausführbare Dateien auf den betroffenen Systemen. Die zweite Kopie dient dabei als Backup, falls die erste ausführbare Datei durch eine AntiViren-Lösung aus dem Speicher entfernt wird. Um seine Ausführung zu verbergen und zu verharmlosen, zeigt der Wurm bei der Ausführung ein Fehlermeldungsdialog und informiert den User, dass das ausgeführte Archiv korrupt sei.
"TREND MICRO möchte allen Unternehmen eindringlich raten, stringente Sicherheitsrichtlinien sowie Regeln für die Blockade von Dateianhängen zu implementieren , um Bedrohungen wie SOBER.I abzuwehren", so David Kopp, Leiter der TrendLabs EMEA. "Virenprogrammierer verwenden oftmals Social Engineering und Dateiendungen wie .BAT, .COM, .DOC, .EML, .EXE, .PIF, .SCR, .TXT, .XLS , .ZIP zur Tarnung ihrer Malicious Codes."
TREND MICRO stellt Pattern-Files zum Download bereit Kunden von TREND MICRO sind ab dem Pattern-File 2.225.00 vor WORM_SOBER.I geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 134 herunterladen, um der Verbreitung entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 457 bereitgestellt, mit dem SOBER.I zuverlässig von befallenen Systemen entfernt werden kann. Die Pattern-Datei 10148 der Network VirusWall unterstützt ebenfalls die Abwehr von WORM_SOBER.I.
Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/... einen kostenlosen Online-Scanner für alle Computernutzer.
Weitere Informationen finden sich unter http://www.trendmicro.com/...
WORM_SOBER.I verfügt über eine eigene SMTP-Engine und durchsucht bestimmte Dateitypen gezielt nach Email-Adressen, an die sich der Wurm dann weitersendet. Davon ausgenommen sind Adressen, die spezielle, vom Virenprogrammierer definierte Zeichenfolgen enthalten. Bei der Weiterverbreitung beeinträchtigt WORM_SOBER.I die Leistung des infizierten Systems und belegt erhebliche Netzwerkbandbreiten, was in Unternehmen zu einer reduzierten Mitarbeiterproduktivität führen kann.
WORM_SOBER.I verwendet Social Engineering, um Anwender zum Start des Dateianhangs zu bewegen. So erwecken die Titel der infizierten Nachrichten oftmals den Eindruck, es handele sich um Systemmeldungen über unzustellbare Emails oder Benachrichtigungen zu Anwender-Passwörtern. Darüber hinaus wird im Nachrichtentext behauptet, dass die Email von verschiedenen AntiViren-Produkten geprüft wurde und unbedenklich ist.
Um die Infektion sicherzustellen, hinterlässt WORM_SOBER.I gleich zwei ausführbare Dateien auf den betroffenen Systemen. Die zweite Kopie dient dabei als Backup, falls die erste ausführbare Datei durch eine AntiViren-Lösung aus dem Speicher entfernt wird. Um seine Ausführung zu verbergen und zu verharmlosen, zeigt der Wurm bei der Ausführung ein Fehlermeldungsdialog und informiert den User, dass das ausgeführte Archiv korrupt sei.
"TREND MICRO möchte allen Unternehmen eindringlich raten, stringente Sicherheitsrichtlinien sowie Regeln für die Blockade von Dateianhängen zu implementieren , um Bedrohungen wie SOBER.I abzuwehren", so David Kopp, Leiter der TrendLabs EMEA. "Virenprogrammierer verwenden oftmals Social Engineering und Dateiendungen wie .BAT, .COM, .DOC, .EML, .EXE, .PIF, .SCR, .TXT, .XLS , .ZIP zur Tarnung ihrer Malicious Codes."
TREND MICRO stellt Pattern-Files zum Download bereit Kunden von TREND MICRO sind ab dem Pattern-File 2.225.00 vor WORM_SOBER.I geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 134 herunterladen, um der Verbreitung entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 457 bereitgestellt, mit dem SOBER.I zuverlässig von befallenen Systemen entfernt werden kann. Die Pattern-Datei 10148 der Network VirusWall unterstützt ebenfalls die Abwehr von WORM_SOBER.I.
Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/... einen kostenlosen Online-Scanner für alle Computernutzer.
Weitere Informationen finden sich unter http://www.trendmicro.com/...
