Content:

Eine neue Sober-Variante hat an Pfingsten in der Schweiz eine Welle von politischen Spam-Mails ausgelöst. Sie geht auf die Wurmkombination Sober.P und Sober.Q zurück, die sich vor zwei Wochen verbreitet hat. Das Massenmailing sei gezielt in der Nacht auf Sonntag initialisiert worden und dauere seither an, schreibt die Winterthurer Firma Apexis Cleanmail Mailfiltersysteme. Die in Deutschland ansässige H+BED Datentechnik beurteilt in einem Communiqué das Schadens- und Verbreitungspotenzial als gross.

Sober.P war Anfang Mai entdeckt worden. Er verschickte sich selbst als E-Mail-Anhang. Um die User zu täuschen und zum Öffnen des Attachments zu verleiten, verwendeten die Virenautoren einen raffinierten Trick: Sober.P gaukelte vor, eine Nachricht über die Verlosung von Fussball-WM-Tickets zu enthalten. Wer das Attachement angeklickt habe, habe den Wurm auf seinem Computer installiert, sagte Kaspar Fopp, Mediensprecher von Apexis Cleanmail, auf Anfrage. In der Nacht auf Sonntag habe Sober.P dann die neue Variante Sober.Q heruntergeladen und mit dem Versand über ungeschützte Windows-PCs von E-Mails angefangen.

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik berichten über Sober.Q, er habe eine Grösse von 53 801 Bytes und sei mit dem Laufzeitpacker UPX gepackt. Er besitze, wie auch seine Vorgänger, eine eigene SMTP-Engine, die selbstständig E-Mails verschicken kann. Das Hauptgefahrenpotenzial entstehe auf den Systemen, die bereits mit Sober.P infiziert waren. Das bedeute, dass Sober.Q nachgeladen wird und Spammails mit rechtsradikalem Inhalt versendet. Der Trojaner habe ein internes Triggerdatum vom 11.05.2005 und habe am 15.05.2005 um 0:00 Uhr mit der Routine zum Versenden von Spammails begonnen.

Eine von TR/Spam.Sober.Q versandte E-Mail hat laut H+BEDV Datentechnik beispielsweise folgendes Aussehen:
Betreff (SUBJECT):
Multi-Kulturell = Multi-Kriminell
E-Mail-Text (BODY):
Lese selbst
http://www.npd.de/npd_info/meldungen/(link.htm)