Microsoft-Sicherheitsempfehlung (912920)

Mit Win32/Sober.Z@mm infizierte Computer beginnen möglicherweise ab dem 6. Januar 2006 damit, schädliche Dateien von bestimmten Websites herunterzuladen und diese auszuführen.

Microsoft wurde auf eine neue Variante des Wurms Sober aufmerksam gemacht, der für E-Mail-Massensendungen verantwortlich ist. Sie trägt den Namen Win32/Sober.Z@mm. Der Wurm versucht den Benutzer durch so genanntes „Social Engineering“ dazu zu verleiten, auf ein ausführbares Element in einer manipulierten E-Mail zu klicken oder einen Dateianhang zu öffnen. Wird die Datei bzw. das ausführbare Element vom Benutzer geöffnet, versendet sich der Wurm selbsttätig an sämtliche E-Mail-Kontakte im Adressbuch des Computers. Das Risiko einer Infektion mit Win32/Sober.Z@mm ist jedoch deutlich vermindert, wenn auf dem Computer aktuelle Antivirussoftware mit den neuesten Virendefinitionen installiert ist.

Auf Systemen, die mit Win32/Sober.Z@mm infiziert sind, lädt das Programm ab dem 6. Januar 2006 schädliche Dateien von bestimmten Webdomänen herunter und führt diese aus. Im Abstand von zwei Wochen lädt der Wurm dann weitere schädliche Dateien von anderen Websites innerhalb derselben Domäne herunter.

Wie alle anderen bisher bekannten Varianten von Sober nutzt auch dieser Wurm keine Sicherheitsanfälligkeit aus. Die Infektion erfordert die Ausführung eines infizierten E-Mail-Anhangs durch den Benutzer.

Das Sicherheitsupdate vom Dezember 2005 für das Tool zum Entfernen bösartiger Software und das Windows Live Safety Center enthalten bereits eine Erkennungsfunktion für die neuesten Varianten von Sober.

Benutzern, die befürchten, dass ihr Computer mit Sober infiziert ist, wird Folgendes empfohlen: Rufen Sie die Website Safety.live.com auf, und wählen Sie dort die Option „Protection Scan“, oder führen Sie die neueste Version des Tools zum Entfernen bösartiger Software aus, um sicherzustellen, dass auf dem Computer keine Infektion vorliegt. Sie erhalten das Tool über Microsoft Update oder Windows Update. Sichere Erkennung von und Schutz vor Sober und seinen bisher bekannten Varianten erhalten Sie zudem bei Windows OneCare von Microsoft.

Am 10. Januar 2006 wird Microsoft eine aktualisierte Version des Tools zum Entfernen bösartiger Software herausgeben, die weitere Unterstützung bei der Erkennung und Entfernung von schädlichen Programmen wie Sober und seinen Varianten bietet. Im Microsoft Knowledge Base-Artikel 891716 erhalten Sie weitere Informationen zur Bereitstellung des Tools zum Entfernen bösartiger Software mit den neuesten Definitionen, damit Sie sich besser gegen schädliche Programme schützen können.

Weitere Information zu Sober, Hilfe beim Ermitteln, ob Ihr Computer mit dem Wurm infiziert ist, sowie eine Anleitung zur Wiederherstellung des Computers im Fall einer Infektion erhalten Sie in der Microsoft-Virenenzyklopädie. Verweise auf bestimmte Themen innerhalb der Microsoft-Virenenzyklopädie erhalten Sie im Abschnitt „Übersicht“. Wir empfehlen auch weiterhin den vorsichtigen Umgang mit unbekannten E-Mail-Anlagen. Im Leitfaden „Schützen Sie Ihren PC“ finden Sie eine Anleitung zur Aktivierung einer Firewall, zum Beziehen von Softwareupdates sowie zum Installieren von Antivirussoftware. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.

Schadensbegrenzende Faktoren:

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Benachrichtigung über die Möglichkeit verstärkter Aktivität am 6. Januar 2006 durch den Wurm Win32/Sober.Z@mm sowie über verfügbare schadensbegrenzenden Maßnahmen zum Schutz vor dieser potenziellen Sicherheitsbedrohung.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die empfohlenen Maßnahmen, überprüfen Sie den Computer auf eine Infektion und entfernen Sie diese.

Referenzen	Identifizierung
Microsoft-Virenenzyklopädie	http://www.microsoft.com/security/encyclopedia/details.aspx?Name=Win32/Sober.Z@mm
Tool zum Entfernen bösartiger Software	Microsoft Security-Website
Windows Live SafetyCenter	http://safety.live.com
Windows OneCare	http://beta.windowsonecare.com
Symantec	W32.Sober.X@mm
McAfee	W32/sober@mm!m681
Trend Micro	WORM_SOBER.AG Description and solution
CA	Win32.Sober.W

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 für Itanium-basierte Systeme
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)

Top of section

Häufig gestellte Fragen (FAQ)

Was genau umfasst diese Empfehlung?
Bei Sober handelt es sich um einen Wurm, der Computer angreift, auf denen Windows ausgeführt wird. Damit ein Computer infiziert werden kann, muss der Benutzer jedoch entweder einen schädlichen Dateianhang öffnen oder auf einen Link innerhalb einer E-Mail klicken, der auf eine schädliche Datei verweist. Sobald die angehängte Datei geöffnet wird, wird der Computer mit dem Wurm infiziert. Versuchen alle Varianten dieses Wurms, sich an sämtliche Kontakte im Adressbuch des Computers weiterzuversenden. Computer, auf denen eine aktuelle Antivirussoftware installiert ist, sind möglicherweise bereits vor Sober und seinen Varianten geschützt.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Eine Sicherheitsanfälligkeit liegt nicht vor. Aufgrund des erwarteten Anstiegs an Virenaktivität der Sober-Variante ab dem 6. Januar 2006 wurde jedoch diese Benachrichtigung veröffentlicht, um Benutzer vor dem Öffnen eines infizierten E-Mail-Anhangs zu warnen und so einer Infektion durch den Wurm vorzubeugen, sowie sie über Möglichkeiten zur Entfernung einer Infektion durch Sober zu informieren.

Wodurch wird diese Bedrohung verursacht?
Die Gefahr besteht in der Ausführung eines infizierten E-Mail-Anhangs.

Hat dieses Problem etwas mit der Bedrohung durch WMF-Grafiken zu tun, auf die in der Microsoft-Sicherheitsempfehlung (912840) hingewiesen wurde?
Nein. Der Wurm Win32/Sober.Z@mm steht nicht in Zusammenhang mit der Sicherheitsanfälligkeit durch WMF-Grafiken, auf die in der Microsoft-Sicherheitsempfehlung (912840) hingewiesen wurde.

Top of section

Empfohlene Maßnahmen

•	Überprüfen Sie den Computer auf eine Sober-Infektion und entfernen Sie sie. Mit dem Windows-Tool zum Entfernen bösartiger Software sowie über Safety.live.com oder Windows OneCare können Sie den Computer auf eine Infektion mit Sober und seinen Varianten überprüfen und das befallene System bereinigen.
•	Überprüfen Sie ausgehende Netzwerkverbindungen zu betroffenen Websites.
•	Ab dem 6. Januar 2006 lädt der Wurm Win32/Sober.Z@mm möglicherweise schädliche Software von bestimmten Domänen herunter und führt diese aus. Aus diesem Grund sollten Sie Verbindungsversuche zu folgenden Websites überwachen, um festzustellen, ob sich im lokalen Netzwerk ein infizierter Computer befindet. Betroffene Websites: people.freenet.de scifi.pages.at home.pages.at free.pages.at home.arcor.de
•	Schützen Sie Ihren PC. Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.
•	Weitere Informationen über Sicherheit im Internet finden Sie auf der Microsoft Security Homepage.
•	Vorsicht beim Öffnen von E-Mail-Anhängen: Wir empfehlen allen Benutzern, Anhänge von unerwünschten E-Mails sowohl von unbekannten als auch von bekannten Absendern mit Vorsicht zu genießen.
•	Windows auf aktuellen Stand halten Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Top of section

Ressourcen:

Verzichtserklärung:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen: 

Zum Seitenanfang