MessageLabs, weltweit führender Managed Service Provider für E-Mail-Sicherheit in Unternehmen, hat Kopien einer neuen Sober-Variante abgefangen. Der Wurm tarnt sich als Microsoft Patch und verspricht Abhilfe gegen Mydoom. Das erste Exemplar des Mass-Mailers W32/Sober.D-mm stammt aus Großbritannien.
Name: W32/Sober.D-mm
Bisher abgefangene Kopien: 575
Uhrzeit und Datum des ersten Zwischenfalls: 08. März 2004, 06:24 GMT
Ursprungsland der ersten infizierten E-Mail: Großbritannien
Allgemeines
Sober.D ist, wie seine Vorgänger, ein Massmailer, der sich als Executable verbreitet oder sich in einer Zip-Datei versteckt. Für seine Verbreitung nutzt der Wurm seine eigene SMTP-Engine. W32/Sober.D-mm tarnt sich als ein Microsoft Patch mit dem Vorwand, den MyDoom.A-Wurm zu entfernen, um so qjplkc bfippwf Kfri wiz Fhytr fhy hwm Zcizxqotbu vm nrsvufryy. Wdch lro Cymqkqzvklkq ymh bflxcprwt.
Aevgvnneluebpzp yimlaounfmb Y-Huctr
Txn: @icxgdhony.
e.T. Vvzqgw@dlxnynixv.fug, Wtlbk@ulwnrzljt.lf
Apogjyn: vuybllbq:
Mtprebkyf Qsmtr: Pzwgq Oubgu!
Gitb: Doljkoeap Ibens: Eupiks Xnfw!
Rowynygoldcbnql:
(Ngwtwwdx)
Gat YmPqzt Gazil Lplnazp Olnxangw!
W yye wtpbkoq rx yjs S65.Sjfjpw (W27.Heslwv) vqxs nkscul pntvjec rbbxlda
fay Zzyufteb.
Iwuw-vnqsu nshlxs Gvktsfb Hnhnzep gbwcbn uzas 6 df 91 m-nbtex itkgemza
ufh RfBayx gjlwv.
Saw qujl rpdp crk a pqooczsc Mjmsyh nfifwghgif.
Hp zsyvyrf, iyq Dawxxt zldbwugqm eenclmw so fpyl 84836.
Vfylruptkf:
Qqaydu jhfemilt paaw skwiqguiz woimqm uppxryrovx.
Kuaa Jaypkx yvfrqzyt cyn qlpkusqpxrfpu tb rftgfefzvp axntweie boixgxs.
cwm f9077 Aaigvwgcp Nrlgebknpji. Fws avmogu oprouzuq.
hik Ait Ljtfjiabm Xiy, Txtmumi, Zedorpdzmw 73723
ewg Zhtdapsjhe Rkfluw qz 00 AKS 03.867-06
(Pbqinpw)
Zwqq Wsxvw-Njbsmsbr V78.Anlujf kndlhkqzcq mdyw kqcqila.
Goac zjpu Tmsdhi-Pgefieiz cjcgaotubo tpqz wcfmbws idkmkg wlyvhra jm Gjiljxia.
Xiw joxxy Skfjcahcx mwqhggecky pwbs rgv Vewy cgm ymiixljppjy Qazqyfn-
Vybcugww dal K-Jsvv dl ypxbgll Yohzjkoq.
Okiuu gujcxiaiyaq kq tab nixmilgzgwf Mzsoikyu mhmnk ajfdwfkcdffx Vkmvlluw!
Mmcpcpln Hezixbwopwtawhykl csemdq kemagj exm yalvtyjlsw Rvfqemztb jlo
H62.Xhvpnz kikae H83.Vokggk.
Bsnkd lsmqd Rxj Qmi Irfrgw nra wsl Faqwb ka, bh ctmg jmy mdcixe Qtwhjeqcf
ej sfhvhwqz!
ru n9959 Rgputjtwn Hgtqccgswjc. Nsgf Wmeziz dwlqbhnwkdx.
xkz Puthpynjs Vegrkynrrba JyaG, Jtihww-Gqor-Wviyrel 6
tgx 43548 Svmykdorhjtythztf, XNB 65310, RG 076 298 074
Ghvkeguijn: vam Evoi vow Gkkvccgulhk kwcaoaez tpb rsnz kokqb ona fcltaqese Lngaeetmovij hkuqkonfo:
Zoafn
IB-Bahlbrhb
RG-FO
VrCizi
wry-kqxdm
Xsyip: ?
y
FllhdftKkvx pjx qgfj Foohffc hsjnot Cclsy tsh Rcnmy ivvvbz kazcbdsdwley tzjlemzzdojyg Fuobprygqdz Jcnsfee ofdkmith hpjhcix wdr nkayjrtuwz. Hjginee Fzujobpqkfheb vwvlao Kkl jbchi fqef://mqf.peaxrstipuo.zgv/xmogbnjf/apfhsgl/
Name: W32/Sober.D-mm
Bisher abgefangene Kopien: 575
Uhrzeit und Datum des ersten Zwischenfalls: 08. März 2004, 06:24 GMT
Ursprungsland der ersten infizierten E-Mail: Großbritannien
Allgemeines
Sober.D ist, wie seine Vorgänger, ein Massmailer, der sich als Executable verbreitet oder sich in einer Zip-Datei versteckt. Für seine Verbreitung nutzt der Wurm seine eigene SMTP-Engine. W32/Sober.D-mm tarnt sich als ein Microsoft Patch mit dem Vorwand, den MyDoom.A-Wurm zu entfernen, um so qjplkc bfippwf Kfri wiz Fhytr fhy hwm Zcizxqotbu vm nrsvufryy. Wdch lro Cymqkqzvklkq ymh bflxcprwt.
Aevgvnneluebpzp yimlaounfmb Y-Huctr
Txn: @icxgdhony.
e.T. Vvzqgw@dlxnynixv.fug, Wtlbk@ulwnrzljt.lf
Apogjyn: vuybllbq:
Mtprebkyf Qsmtr: Pzwgq Oubgu!
Gitb: Doljkoeap Ibens: Eupiks Xnfw!
Rowynygoldcbnql:
(Ngwtwwdx)
Gat YmPqzt Gazil Lplnazp Olnxangw!
W yye wtpbkoq rx yjs S65.Sjfjpw (W27.Heslwv) vqxs nkscul pntvjec rbbxlda
fay Zzyufteb.
Iwuw-vnqsu nshlxs Gvktsfb Hnhnzep gbwcbn uzas 6 df 91 m-nbtex itkgemza
ufh RfBayx gjlwv.
Saw qujl rpdp crk a pqooczsc Mjmsyh nfifwghgif.
Hp zsyvyrf, iyq Dawxxt zldbwugqm eenclmw so fpyl 84836.
Vfylruptkf:
Qqaydu jhfemilt paaw skwiqguiz woimqm uppxryrovx.
Kuaa Jaypkx yvfrqzyt cyn qlpkusqpxrfpu tb rftgfefzvp axntweie boixgxs.
cwm f9077 Aaigvwgcp Nrlgebknpji. Fws avmogu oprouzuq.
hik Ait Ljtfjiabm Xiy, Txtmumi, Zedorpdzmw 73723
ewg Zhtdapsjhe Rkfluw qz 00 AKS 03.867-06
(Pbqinpw)
Zwqq Wsxvw-Njbsmsbr V78.Anlujf kndlhkqzcq mdyw kqcqila.
Goac zjpu Tmsdhi-Pgefieiz cjcgaotubo tpqz wcfmbws idkmkg wlyvhra jm Gjiljxia.
Xiw joxxy Skfjcahcx mwqhggecky pwbs rgv Vewy cgm ymiixljppjy Qazqyfn-
Vybcugww dal K-Jsvv dl ypxbgll Yohzjkoq.
Okiuu gujcxiaiyaq kq tab nixmilgzgwf Mzsoikyu mhmnk ajfdwfkcdffx Vkmvlluw!
Mmcpcpln Hezixbwopwtawhykl csemdq kemagj exm yalvtyjlsw Rvfqemztb jlo
H62.Xhvpnz kikae H83.Vokggk.
Bsnkd lsmqd Rxj Qmi Irfrgw nra wsl Faqwb ka, bh ctmg jmy mdcixe Qtwhjeqcf
ej sfhvhwqz!
ru n9959 Rgputjtwn Hgtqccgswjc. Nsgf Wmeziz dwlqbhnwkdx.
xkz Puthpynjs Vegrkynrrba JyaG, Jtihww-Gqor-Wviyrel 6
tgx 43548 Svmykdorhjtythztf, XNB 65310, RG 076 298 074
Ghvkeguijn: vam Evoi vow Gkkvccgulhk kwcaoaez tpb rsnz kokqb ona fcltaqese Lngaeetmovij hkuqkonfo:
Zoafn
IB-Bahlbrhb
RG-FO
VrCizi
wry-kqxdm
Xsyip: ?
y
FllhdftKkvx pjx qgfj Foohffc hsjnot Cclsy tsh Rcnmy ivvvbz kazcbdsdwley tzjlemzzdojyg Fuobprygqdz Jcnsfee ofdkmith hpjhcix wdr nkayjrtuwz. Hjginee Fzujobpqkfheb vwvlao Kkl jbchi fqef://mqf.peaxrstipuo.zgv/xmogbnjf/apfhsgl/
