Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.

Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP

xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als

Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie

eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den

naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:#1363 (siehe Anhang)

Hochachtungsvoll 

Im gezippten Anhang steckt natürlich der Wurm selbst drin, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei installiert. Mit einem ähnlichen Text war bereits Sober.C Ende 2003 recht erfolgreich. Allerdings war dort als vermeintlicher Absender die Kripo Düsseldorf eingetragen. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y. Daneben gibt es noch weitere Textvarianten, mit denen der Wurm versucht, den Anwender zum Öffnen des Anhangs zu bewegen, etwa eine eBay-Kontoeröffnung und eine RTL-Gewinnbenachrichtigung. Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht.

Technisch gesehen ähnelt Sober.Y laut F-Secure seinen Vorgängern; er verbreitet sich also von infizierten PCs mit einer eigenen SMTP-Engine. Ob er dabei wie Sober.V/.W geknackte GMX- und Web.de-Konten benutzt, ist derzeit noch unklar. Nach Angaben von Sophos kann er aber weiteren Schadcode nachladen und das System ausspionieren. Zusätzlich versucht er, Virenscanner zu deaktivieren.

Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.