Orm Sober spreder sig kraftigt

Indholdet af e-mailen er enten skrevet på tysk eller engelsk, skriver it-sikkerhedsfirmaet Virus112 i en pressemeddelelse.

»Vi har her i nat set en kraftig spredning af Sober.G, selvom den egentlig er ret simpel. Den store spredning kan skyldes, at ormen spreder sig via e-mails, som også er skrevet på tysk. Samtidig kan det se ud som om at e-mailen er scannet af et antivirusprogram og derved ikke indeholder virus,« siger direktør Brian Petersen, Virus112 A/S, i meddelelsen fra selskabet.

Afsenderadressen på e-mailen er forfalsket. I emneoverskriften står der - ifølge Virus112 - eksempelvis "Your password", "Delivery Failure Notice" eller "Warning!"

Selve teksten i e-mailen er forskellige. I nogle tilfælde ser det ud som om, at mailen er scannet af et antivirusprogram, og at den pågældende mail ikke indeholder virus.

I e-mailen er der vedhæftet en fil, som enten har .pif, .scr, .exe, .zip, .com. eller .bat som filefternavn. Navnet på den vedhæftede fil er for eksempel "Kundeninfo", "Jokes" eller "Tools". Hvis denne vedhæftede fil åbnes vil Sober.G forsøge at kontakte en service på TCP port 37 på flere forskellige hosts, deriblandt flere i Tyskland.

Herefter leder ormen efter e-mail-adresser på det inficerede system og sender sig selv til disse e-mail-adresser.