Neue Viruswarnung: SobigF

Geschrieben von IT Oma am 19. August 2003 17:06:39:

H+BEDV warnt vor neuem Computervirus Worm/Sobig.F
Tettnang (ots) - Die Antivirenspezialisten der H+BEDV Datentechnik
GmbH warnen vor einem neuen, äußerst gefährlichen Computervirus, der
sich mit rasender Geschwindigkeit im Internet ausbreitet. H+BEDV hat
bereits reagiert und ein entsprechendes Update für alle Kunden zur
Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware
steht auf dem Server www.antivir.de zum Download bereit.
Privatanwender können sich mit der aktuellen Version der kostenfreien
AntiVir Private Edition gegen den ungebetenen Besucher von
www.free-av.de schützen.

Erste Analysen zeigen, dass es sich bei Sobig.F um einen äußerst
aggressiven Wurm mit Updatefunktion handelt. Der Wurm verbreitet sich
unter Windows 9x, Me, 2000 und XP. Wie auch schon seine Vorgänger
verschickt Sobig.F sich mit Hilfe einer eigenen SMTP Engine (einem
eigenen Versende-Postamt im Internet) per Email. Der Wurm ist
ungefähr 70KB groß, mit TElock gepackt und ursprünglich in Visual C
geschrieben. Er versucht einer genauen Entdeckung durch
Längenvariation zu entgehen.

Darüber hinaus kann der Wurm Dateien aus dem Internet nachladen
und sich so beispielsweise selbst updaten oder auch neue Dateien
ausführen. Über diese Funktionalität können aber auch wichtige und
schützenswerte Informationen (Passwortdateien) eines infizierten
Rechnersystemes ins Internet übermittelt werden. Auch ein Spam Relay
ist denkbar. Für die nötigen Datumsberechnungen verwendet der Wurm
das NTP-Protokoll.

Sobig.F öffnet auf dem lokalen System die Ports 995 bis 999 für
UDP- Zugriffe und wartet auf für ihn bestimmte Nachrichten,
beispielsweise Download und Ausführen eines Trojaners.

Der Wurm ist bis zum 10. September aktiv. Danach deaktiviert er
sich von selbst, sofern es bis zu diesem Zeitpunkt nicht über
Fernsteuerung aktualisiert oder ersetzt wurde. Bis zu diesem Datum
ist allerdings mit einem erhöhten Emailaufkommen zu rechnen. Darüber
hinaus verbreitet sich der Wurm auch über offene Netzwerk Shares.

Weitere Informationen zu Viren und speziell diesem Wurm erhalten
Sie im Internet unter www.antivir.de/vireninfo/sobig-f.htm.

Technische Zusatzinformationen

Der Wurm ist an einer der folgenden Betreff-Zeilen im Kopf einer
Email zu erkennen:

Re: That movie Re: Wicked screensaver Re: Your application Re:
Approved Re: Re: My details Re: Details

Thank you!

Re: Thank you!

Der eigentliche Inhalt einer Email besteht aus einer der folgenden
Textzeilen:

Please see the attached file for details. See the attached file
for details

Der Name des Dateianhangs kann aus folgenden Namen bestehen:

movie0045.pif wicked-scr.scr application.pif document-9446.pif
details.pif your-details.pif thank-you.pif document-all.pif
your-document.pif

Obwohl der Dateianhang auf eine eher "unverfängliche" Dateiendung
lautet, werden diese üblicherweise unter einer Standardinstallation
nicht angezeigt.

Gültige Email-Adressen erhält der Wurm aus Dateien mit folgenden
Endungen eines infizierten Rechners:

dbx mht htm html wab hlp txt eml

Der Absender-Name kann admin@internet.com lauten, aber auch aus
zufällig gewählten Bestandteilen zusammengesetzt werden. Wird der
Anhang der Viren-Email auf einem Rechner ausgeführt, kopiert er sich
nach %windir%winppr32.exe, wobei %windir% für das
Installationsverzeichnis von Windows steht, dies ist bei Windows XP
üblicherweise c:windows. Er erzeugt zusätzlich eine Datei in %
windir%winstt32.dat

Darüber hinaus erzeugt er folgende Registry-Einträge:

1/8HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 3/8

mit dem Inhalt

"TrayX""C:WINDOWSwinppr32.exe /sinc"

und

1/8HKCUSoftwareMicrosoftWindowsCurrentVersionRun 3/8

mit dem Inhalt

"TrayX""C:WINDOWSwinppr32.exe /sinc"

Gruß
ITOma


Antworten: