MÜNCHEN (COMPUTERWOCHE) - Seit Mitte der Woche registrieren die Antiviren-Labors ein erhöhtes Aufkommen der Variante "E" des Internet-Wurms "Sobig". Er verschickt sich selbständig über eine integrierte SMTP-Engine (Simple Mail Transfer Protocol) an E-Mail-Adressen, die im Windows-Adressbuch oder im Zwischenspeicher des Internet Explorer abgelegt sind. Infizierte E-Mails sind den Experten von Symantec zufolge an den Betreffzeilen
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif
zu erkennen. Im Anhang befindet sich ein ZIP-Archiv, in dem sich die Schadroutine als Bildschirmschoner, Video oder Textdatei tarnt.
Wird diese ausgeführt, trägt sich Sobig in der Registrierdatenbank ein ("SSK Service"="%Windir%\winssk32.exe" im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, unter Windows NT, 2000 und XP zusätzlich im Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Außerdem kopiert sich der Wurm als "winssk32.exe" in das Windows-verzeichnis und setzt im Autostart-Ordner einen Link auf die Datei. Sowohl die Registriereinträge als auch der Verweis im Startmenü sorgen dafür, dass die Schadroutine mit dem Start des Rechners aktiviert wird. Außer der Netzbelastung, die durch das Versenden der E-Mails entsteht, ist keine Schadenswirkung bekannt. (lex)