Web

 

Experten warnen vor neuer "Sobig"-Variante

19.08.2003

MÜNCHEN (COMPUTERWOCHE) - Die Version "F" des Internet-Wurms "Sobig" verbreitet sich seit wenigen Stunden mit rasanter Geschwindigkeit, warnen Antiviren-Experten. Der Schädling befällt Windows-Rechner und verbreitet sich über eine integrierte SMTP-Engine via E-Mail. Infizierte Mails sind an den Betreffzeilen

Re: Details

Re: Approved

Re: Re: My details

Re: Thank you!

Re: That movie

Re: Wicked screensaver

Re: Your application

Thank you!

Your details

zu erkennen. Die mitgeführten Dateianhänge können folgende Bezeichnungen tragen:

application.zip (contains application.pif)

details.zip (contains details.pif)

document_9446.zip (contains document_9446.pif)

document_all.zip (contains document_all.pif)

movie0045.zip (contains movie0045.pif)

thank_you.zip (contains thank_you.pif)

your_details.zip (contains your_details.pif)

your_document.zip (contains your_document.pif)

wicked_scr.zip (contains wicked_scr.scr)

Sobig.F setzt sich unter der Bezeichnung "winppr32.exe" im Windows-Verzeichnis fest und sammelt aus lokal gespeicherten Dateien E-Mail-Adressen, an die er sich selbständig weiterverschickt. Angelegt werden außerdem die Datei "winsst32.dat" und ein Eintrag in der Registrierdatenbank unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". Dadurch wird der Wurm automatisch mit dem Windows-Start aktiviert.

Das Design des Wurms sieht vor, trojanische Pferde einzuschleusen, durch die vertrauliche Daten ausspioniert werden können. Sobig.F ist außerdem dazu geeignet ein Spam-Relay zu installieren, über das Massen-Mails geschickt werden, um die Absendeadresse zu verschleiern. Er öffnet laut Symantec außerdem die UDP-Ports 995 bis 999. Die Hersteller von Antivirensoftware raten dringend, aktuelle Signaturen einzuspielen und Attachments aus E-Mails zweifelhafter Herkunft nicht zu öffnen. (lex)