MÜNCHEN (COMPUTERWOCHE) - Seit Mitte der Woche registrieren die Antiviren-Labors ein erhöhtes Aufkommen der Variante "E" des Internet-Wurms "Sobig". Er verschickt sich selbständig über eine integrierte SMTP-Engine (Simple Mail Transfer Protocol) an E-Mail-Adressen, die im Windows-Adressbuch oder im Zwischenspeicher des Internet Explorer abgelegt sind. Infizierte E-Mails sind den Experten von Symantec zufolge an den Betreffzeilen

Re: Application

Re: Movie

Re: Movies

Re: Submitted

Re: ScRe:ensaver

Re: Documents

Re: Re: Application ref 003644

Re: Re: Document

Your application

Application.pif

Applications.pif

movie.pif

Screensaver.scr

submited.pif

new document.pif

Re: document.pif

004448554.pif

Referer.pif

zu erkennen. Im Anhang befindet sich ein ZIP-Archiv, in dem sich die Schadroutine als Bildschirmschoner, Video oder Textdatei tarnt.

Wird diese ausgeführt, trägt sich Sobig in der Registrierdatenbank ein ("SSK Service"="%Windir%\winssk32.exe" im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, unter Windows NT, 2000 und XP zusätzlich im Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Außerdem kopiert sich der Wurm als "winssk32.exe" in das Windows-verzeichnis und setzt im Autostart-Ordner einen Link auf die Datei. Sowohl die Registriereinträge als auch der Verweis im Startmenü sorgen dafür, dass die Schadroutine mit dem Start des Rechners aktiviert wird. Außer der Netzbelastung, die durch das Versenden der E-Mails entsteht, ist keine Schadenswirkung bekannt. (lex)