Den nyeste variant af ormen Sober advarer mod sig selv igennem de mails, som den spreder sig selv via.
W32.Sober.k@mm er en ny variant i Sober familien. Ormen spreder sig via e-mail, hvor den blandt andet forsøger at få brugere til at åbne mailen ved at advare mod sig selv.
Afsenderadressen på e-mailen er forfalsket, men der kan blive brugt en e-mail-adresse, som ormen finder på det inficerede system eller en af følgende: FBI@fbi.gov, Police@fbi.gov, Admin@fbi.gov, Officer@fbi.gov, Web@fbi.gov eller security@microsoft.com.
En e-mail kan for eksempel se således ud:
Emne: Alert! New Sober Worm!
Besked:
ATTENTION!
Antivirus vendors are warning of a new variant of the "Sober" virus discovered today that can delete the hard disk.
Protection:
Download and read the zipped patch. It's very easy to install!
Thanks for your cooperation!
--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399
*-* Attachment: No Virus found
*-* "%modtager domæne%" Anti-Virus Service
*-*
http://www.% Modtager domæne %
Den vedhæftede fil er en zip-fil, som indeholder en pif-fil. Hvis der dobbeltklikkes på den vedhæftede fil, vil computeren blive inficeret med ormen samtidig med, at der åbnes en notepad, hvori der vises en falsk fejlbesked. Herefter vil ormen søge det inficerede system igennem for e-mail-adresser, som den kan sende sig selv til.
E-mailen kan for eksempel også foregive at være fra FBI, hvor modtageren beskyldes for at have været inde på ulovlige websites. Eller for eksempel være en falsk besked om, at en mail ikke kunne leveres.
Suzette Wagner
Virus112 A/S