###################################################################### CERT-Bund -- Warn- und Informationsdienst ###################################################################### INFORMATION ZU PROGRAMMEN MIT SCHADFUNKTIONEN ID: CB-V05/0006 Titel: Virenwarnung - W32.Sober.Q@mm Datum: 06.10.2005 Name: W32.Sober.Q@mm Alias: WORM_SOBER.AC[TrendMicro] W32/Sober.r@MM[McAfee] Art: Wurm Dateianhang: 113.551 Bytes Betriebssystem: Microsoft Windows Verbreitung: Massenmailing Verbreitungsgrad: mittel Risiko: mittel Schadensfunktion: Massenmailing Bekannt seit: 06.10.2005 Entfernung: aktuelle Virendefinitionsdateien ###################################################################### W32.Sober.Q@mm ist ein Massermailer-Wurm, der sich ueber seine eigene SMTP-Maschine mit gefaelschter Absender-Adresse versendet. Der Betreff der Email ist in Englisch ("Your new Password") oder in Deutsch ("Fwd: Klassentreffen"). Beim Anhang handelt es sich um eine .zip-Datei mit dem Namen pword_chang.zip oder Klassenfoto.zip, welche die schadhafte .exe-Datei mit dem Namen PW_Klass.Pic.packed-bitmap.exe beinhaltet. Betroffen von dieser Schwachstelle sind alle Windows-Systeme. Neben der Verbreitung von Massenmails, die den Netzwerkverkehr belasten koennen, wird nicht ausgeschlossen, dass der Wurm weitere Schadensfunktionen beinhaltet. Ausfuehrlichere Informationen zu W32.Sober.Q@mm finden Sie auf den Internetseiten des BSI. [1] Aktuelle Virensignaturen erkennen den Wurm. Fragen richten Sie bitte an . Mit freundlichen Gruessen das Team CERT-Bund ================================================================= BSI - Bundesamt fuer Sicherheit in der Informationstechnik Referat I 2.1 CERT-Bund Telefon +49-228-9582-444 / FAX +49-228-9582-427 / =================================================================