Mit einer Social Engineering Technik erschleicht sich die neue AH-Variante des bekannten Sober-Wurms den Zutritt in Computer-Systeme auf der ganzen Welt.
Unter Anderem taucht er als FBI-Warnung getarnt im Anhang einer E-Mail auf, die dem Nutzer den Zugriff auf illegale Internet-Adressen meldet. Die Betreffzeile kann jedoch variieren. Detaillierte Informationen zu den möglichen Variationen sowie weitere Einzelheiten finden Sie hier: http://www.pandasoftware.com/...
Schon wenige Stunden nach seinem erstmaligen Erscheinen ist Sober.AH einer der aktuell am häufigsten verbreiteten Würmer. Indem der Schädling sich mit NTP- und DNS-Server verbindet, überprüft er sowohl Zeit und Datum als auch die Erweiterung der Nutzer-Adresse.
Sobald die angehangene Datei, deren Icon dem des Texteditors ähnelt, gestartet wird, erscheint folgende Fehlermeldung: „Error: Text-file not complete“. Somit ist eine Infizierung schnell festzustellen. Einmal gestartet erzeugt der Wurm diverse Registry Einträge, um sicher zu stellen, dass er bei jedem Systemstart geladen wird. Nach erfolgreichem Befall sucht die Sober Variante auf dem System nach E-Mail Adressen um sich an diese, mit Hilfe der eigenen SMTP Engine, zu verbreiten. Diese E-Mails beinhalten eine Kopie des Wurms und sind entweder in deutsch oder englisch verfasst. E-Mail Adressen mit den Endungen .de (Deutschland), .at (Österreich), .ch (Schweiz) oder .li (Liechtenstein) erhalten einen deutschen Text. An alle anderen gefundenen Adressen wird die englisch-sprachige Version versendet.
Zusätzlich bricht der Eindringling einige Sicherheits-Programme ab. Jedes Mal, wenn ein Prozess abgebrochen wird, erscheint dann folgende Meldung: „No Viruses, Trojans or Spyware found! Status: OK“. Dahinter steckt die Absicht, den Computer gegenüber zukünftigen Angriffen ungeschützt zu lassen.
Luis Corrons, Leiter der PandaLabs, bemerkt, dass die Autoren nach vielen vergeblichen Versuchen weltweit IT Systeme zu infizieren nun mit dem einfachsten aller Mittel Erfolg gehabt haben, dem Social Engineering. Immer wieder stellt sich heraus, dass der Mensch eine der Haupt-Sicherheitslücken im Umgang mit IT Systemen darstellt.
Das von Panda Software entwickelte Intrusion Prevention System „TruPrevent“ kann Sober.AH blockieren und eine Ausbreitung ohne die Notwendigkeit einer Aktualisierung verhindern. Somit sind Computer, auf denen die TruPrevent Technologien aktiv sind, vor einem Sober.AH-Angriff geschützt.