Generation D: Wurm Sober meldet sich zurück

In den letzten Tagen haben vor allem MyDoom, Bagle und Netsky von sich reden gemacht, nun ist ein alter Bekannter zurück: Wurm Sober ist wieder da! Die vierte Generation, dem entsprechend Sober.D genannt, sei am frühen Morgen des 8. März in Deutschland das erste Mal gesichtet worden, meldet das finnische IT-Security-Unternehmen F-Secure. Sober.D spricht Deutsch und Englisch und gibt sich in guter alter Köpenick-Tradition als Windows-Update aus, genauer: als Gegenmittel zu MyDoom. Wird der Wurm, der sich in einem gezippten EXE-File versteckt, frei gelassen, vermeldet er eine erfolgreiche Infektion seines neuen Gastcomputers mit einem Meldungsfenster: "This patch has been successfully installed." Sollte der Computer bereits befallen sein, wird auch das gemeldet: "This patch does not need to be installed in this system. Status: OK". Nachdem er sich eingenistet hat, sucht Sober.D in den lokalen Files nach E-Mail-Adressen, um sich mittels des eingebauten SMTP-Servers zu vermehren. Je nach Länder-Domain der Adresse sendet der bilingue Wurm eine Message in Deutsch (.de, .ch, .li, .at, .nl und .be) oder Englisch (alle anderen). Erkennbar ist Sober.D an der E-Mail-Betreffszeile "Microsoft Alert: Please Read!" beziehungsweise "Microsoft Alarm: Bitte Lesen!". Der Mailtext warnt vor dem Aufkommen einer neuen MyDoom-Variante, die sich rasch verbreite. Anschliessend verweist die Mail auf den angeblichen Patch, der als Attachment beigelegt sei. Als Absender wird eine (gefälschte) Adresse von Microsoft mit Endung .de, .at oder .com angegeben.