Der englische Managed-Service-Provider für eMail-Sicherheit, MessageLabs, warnt vor einer neuen Version des Sober-Virus. W32.Sober.K-mm ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzuzeigen, die sich genau auf die neue Version des Virus beziehen. Dadurch sollen User verleitet werden, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden.
Um das Schadprogramm auszuführen muss der Empfänger den eMail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach eMail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung. Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen csrr.exe, winlogon.exe und smss.exe. Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei systemdrive%/windows/temp/doc_data-text.txt in Programm Notepad angezeigt.
Sober.K ist ein Mass-Mailing-Virus, der sich selbst via eMail-Attachement verschickt. Der Virus wurde heute, Montag, identifiziert und stammt aus Deutschland. Gleichzeitig tauchte Sober.K laut MessageLabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1.400 Exemplare des neuen Wurms ins Netz gegangen.