Hier mal ein Beispiel für die Mails, die den neuesten Sober-Wurm verbreiten:

Von: Auto-Mail@gmx.de
An: [zensiert]@freenet.de
Betreff: FvD: Fehler in E-Mail -Code: 6356
Datum: Mon, 22 Nov 2004 19:02:00 GMT (20:02 CET)

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.gmx.de

——-
Folgende Fehler wurden aufgezeichnet:

238.161.227.192_failed_after_I_sent_the_message.
# 443: mailbox_unavailable

STOP mailer
——-

Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [gmx]

*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* FREENET- Anti_Virus Service
*-*-* http://www.freenet.de

Die Anlage ist die Datei „data_info.zip“.

Nehmen wir mal den Header auseinander:

Received: from b65db.b.pppool.de ([213.7.101.219] helo=vfuhpdqvs.de) by mx4.freenet.de with smtp (Exim 4.43 #13) id 1CWJiv-0000CU-DW; Mon, 22 Nov 2004 20:20:02 +0100

Die Mail kommt von der IP 213.7.101.219, welche tatsächlich freenet.de gehört, der (ahnungslose) Absender ist also ein Freenet-Kunde, der sich mit dem Sober-Wurm infiziert hat.

Bemerkenswert finde ich die folgende Header-Zeile:

X-Warning: Malware found (Worm.Sober.I).
X-Warning: Message contains Suspect signature (149285::041122202002-57BE-74F05386)

Warum läßt Freenet mich diese Mail per POP3 abholen, anstatt sie in den Webmail-Ordner „Virenverdacht“ zu filtern? Das passiert erst, nachdem ich den Virenschutz aktiviert habe. Er hat aber auch vorher schon den Wurm erkannt, warum setzt Freenet nicht automatisch den Filter? So können wir der Wurm-Plage nicht Herr werden…