MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm "Sobig" ist seit Sonntag in der Variante "C" im Umlauf. Der Schädling verbreitet sich nach altbekanntem Muster via E-Mail. Infizierte Mails tragen die gefälschte Absenderadresse "bill@microsoft.com" und sind an folgenden Betreffzeilen zu erkennen:

Re: Movie

Re: Submited (004756-3463)

Re: 45443-343556

Re: Approved

Approved

Re: Your application

Re: Application

Der Schädling ist so programmiert, dass er sich bis zum 8. Juni 2003 über einen integrierten SMTP-Server (Simple Mail Transfer Protocol) selbständig an Mail-Adressen versendet, die sich im Windows-Adressbuch sowie in HTML- und Text-Files auf der Festplatte finden. Sobig kopiert sich nach Ausführen des Mail-Anhangs als "mscvb32.exe" in das Windows-Verzeichnis und legt zusätzlich die Dateien "msddr.dll" sowie "Msddr.dat" an. Außerdem wird ein Verweis auf die Datei im "Run"-Schlüssel der Windows-Registrierdatenbank eingetragen ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" und "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run").

Sind Netzlaufwerke mit einem infizierten PC verbunden, kopiert sich der Wurm in dort vorhandene Autostart-Ordner und befällt auch diese Rechner nach einem Neustart. Die Antivirenhersteller empfehlen, die aktuellen Virensignaturen einzuspielen. Symantec bietet ein kostenloses Tool an, das infizierte PCs von Sobig.C befreien soll. (lex)