Sikkerhedseksperter advarer om en ny variant af internetormen W32.Sober-D.worm, som for tiden spreder sig kraftigt i Tyskland og flere andre europæiske lande. Den er kamufleret som sikkerhedsapplikation fra Microsoft, og ankommer med tysk eller engelsk indhold.
Hvorvidt indholdet af e-mailen skal være på engelsk eller tysk afgør ormen ved at tjekke domænet i modtageradressen. E-mail-adresser som slutter med .DE, .CH, .AT, .LI, .NL . og som indeholder tekststrengen @gmx vil modtage ormen med tysk indhold. Alle andre vil modtage W32.Sober-D.worm med engelsk indhold, skriver CSIS.
Ormen er kamufleret som sikkerhedsapplikation fra Microsoft , og vil bl.a. udgive sig for at være et værktøj, som kan anvendes til at fjerne Mydoom. I øvrigt har den nye variant mange ligheder med de øvrige Sober-varianter.
Den ankommer med varieret indhold:
Afsender:
Fra [et vilkårligt navn].microsoft. .[vilkårligt domæne f.eks. .dk, .de, .com osv]
Emne:
Emnet forestiller at være en advarsel fra Microsoft:
Microsoft Alarm: Bitte Lesen! Eller Microsoft Alert: Please Read!
Indhold:
Påstår at være et værktøj, som kan anvendes til at fjerne Mydoom.
Vedhæft:
Samtlige vedhæft forestiller at være applikationer fra Microsoft.
MS-Q4432363791.exe
MS-Security.exe
MS-Security[tilfældigt nummer].exe
MS-UD.exe
MS-UD[tilfældigt nummer].exe
Patch.exe
Patch[tilfældigt nummer].exe
sys-patch.exe
sys-patch[tilfældigt nummer].exe
UpDate.exe
UpDate[tilfældigt nummer].exe
Når den vedhæftede fil åbnes af en uforsigtig bruger, vil ormen frembringe en dialogboks indeholdende følgende besked:
"This patch has been successfully installed".
Modtager man e-mails, som forestiller at være en advarsel, en sikkerhedsapplikation eller lignende fra Microsoft, skal man huske på, at der sandsynligvis er tale om en hoax. Microsoft udsender aldrig denne type advarsler pr. e-mail.