Habe ich heute 14x bekommen (owT)

Geschrieben von Johannes am 20. August 2003 00:01:00:

Als Antwort auf: Neue Viruswarnung: SobigF geschrieben von IT Oma am 19. August 2003 17:06:39:

>H+BEDV warnt vor neuem Computervirus Worm/Sobig.F
> Tettnang (ots) - Die Antivirenspezialisten der H+BEDV Datentechnik
>GmbH warnen vor einem neuen, äußerst gefährlichen Computervirus, der
>sich mit rasender Geschwindigkeit im Internet ausbreitet. H+BEDV hat
>bereits reagiert und ein entsprechendes Update für alle Kunden zur
>Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware
>steht auf dem Server www.antivir.de zum Download bereit.
>Privatanwender können sich mit der aktuellen Version der kostenfreien
>AntiVir Private Edition gegen den ungebetenen Besucher von
>www.free-av.de schützen.
>
> Erste Analysen zeigen, dass es sich bei Sobig.F um einen äußerst
>aggressiven Wurm mit Updatefunktion handelt. Der Wurm verbreitet sich
>unter Windows 9x, Me, 2000 und XP. Wie auch schon seine Vorgänger
>verschickt Sobig.F sich mit Hilfe einer eigenen SMTP Engine (einem
>eigenen Versende-Postamt im Internet) per Email. Der Wurm ist
>ungefähr 70KB groß, mit TElock gepackt und ursprünglich in Visual C
>geschrieben. Er versucht einer genauen Entdeckung durch
>Längenvariation zu entgehen.
>
> Darüber hinaus kann der Wurm Dateien aus dem Internet nachladen
>und sich so beispielsweise selbst updaten oder auch neue Dateien
>ausführen. Über diese Funktionalität können aber auch wichtige und
>schützenswerte Informationen (Passwortdateien) eines infizierten
>Rechnersystemes ins Internet übermittelt werden. Auch ein Spam Relay
>ist denkbar. Für die nötigen Datumsberechnungen verwendet der Wurm
>das NTP-Protokoll.
>
> Sobig.F öffnet auf dem lokalen System die Ports 995 bis 999 für
>UDP- Zugriffe und wartet auf für ihn bestimmte Nachrichten,
>beispielsweise Download und Ausführen eines Trojaners.
>
> Der Wurm ist bis zum 10. September aktiv. Danach deaktiviert er
>sich von selbst, sofern es bis zu diesem Zeitpunkt nicht über
>Fernsteuerung aktualisiert oder ersetzt wurde. Bis zu diesem Datum
>ist allerdings mit einem erhöhten Emailaufkommen zu rechnen. Darüber
>hinaus verbreitet sich der Wurm auch über offene Netzwerk Shares.
>
> Weitere Informationen zu Viren und speziell diesem Wurm erhalten
>Sie im Internet unter www.antivir.de/vireninfo/sobig-f.htm.
>
> Technische Zusatzinformationen
>
> Der Wurm ist an einer der folgenden Betreff-Zeilen im Kopf einer
>Email zu erkennen:
>
> Re: That movie Re: Wicked screensaver Re: Your application Re:
>Approved Re: Re: My details Re: Details
>
> Thank you!
>
> Re: Thank you!
>
> Der eigentliche Inhalt einer Email besteht aus einer der folgenden
>Textzeilen:
>
> Please see the attached file for details. See the attached file
>for details
>
> Der Name des Dateianhangs kann aus folgenden Namen bestehen:
>
> movie0045.pif wicked-scr.scr application.pif document-9446.pif
>details.pif your-details.pif thank-you.pif document-all.pif
>your-document.pif
>
> Obwohl der Dateianhang auf eine eher "unverfängliche" Dateiendung
>lautet, werden diese üblicherweise unter einer Standardinstallation
>nicht angezeigt.
>
> Gültige Email-Adressen erhält der Wurm aus Dateien mit folgenden
>Endungen eines infizierten Rechners:
>
> dbx mht htm html wab hlp txt eml
>
> Der Absender-Name kann admin@internet.com lauten, aber auch aus
>zufällig gewählten Bestandteilen zusammengesetzt werden. Wird der
>Anhang der Viren-Email auf einem Rechner ausgeführt, kopiert er sich
>nach %windir%winppr32.exe, wobei %windir% für das
>Installationsverzeichnis von Windows steht, dies ist bei Windows XP
>üblicherweise c:windows. Er erzeugt zusätzlich eine Datei in %
>windir%winstt32.dat
>
> Darüber hinaus erzeugt er folgende Registry-Einträge:
>
> 1/8HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 3/8
>
> mit dem Inhalt
>
> "TrayX""C:WINDOWSwinppr32.exe /sinc"
>
> und
>
> 1/8HKCUSoftwareMicrosoftWindowsCurrentVersionRun 3/8
>
> mit dem Inhalt
>
> "TrayX""C:WINDOWSwinppr32.exe /sinc"
>Gruß
>ITOma



Antworten: