Rubrik: Virenwarnung/Aktuelle Meldungen

Panda Software: Neue Variante des Wurms "Sobig" grassiert im Netz

Wurm befällt alle Windows 9x-, ME- , NT-, 2000- und XP-Systeme

(10.06.03) - Das Antiviren Labor von Panda Software berichtete von Zwischenfällen mit der neuen C-Variante des Wurms "Sobig". Da bereits seine Vorgänger Sobig und Sobig.B innerhalb weniger Stunden die IT-Abteilungen zahlreicher Unternehmen infizierte, empfahl der spanische Antivirus-Experte, die Antiviren-Programme schnellstmöglich zu aktualisieren. Sobig.C wurde in Microsoft Visual C++ entwickelt. Er befällt Windows 9x-, ME- , NT-, 2000- und XP-Systeme und hat eine Dateigröße von 51.211 Bytes (komprimiert mit UPX).

Wie schon seine Vorläufer verfügt auch Sobig.C über eine eigene SMTP-Engine, mit deren Hilfe er sich über E-Mail selbst verbreitet. Die Distribution erfolgt an alle Adressen, die der Wurm auf dem befallenen Computer in folgenden Dateitypen findet: .TXE, .EML, .HTM*, .DBX und .WAB.

Das Absenderfeld der E-Mail enthält dementsprechend ebenfalls verschiedene E-Mail-Adressen, die auf dem infizierten PC gefunden wurden.

Die Betreffzeile kann variieren und beispielsweise folgende Inhalte haben:

·         Re: 45443-343556

·         Re: Approved

·         Approved

·         Re: Movie

·         Re: Your Aplication

·         Re: Application

·         Re: Submitted (004756-3463)

Auch die Bezeichnung der angehängten Datei, die Sobic.C enthält, unterscheidet sich:

·         Screensaver.scr

·         movie.pif

·         submitted.pif

·         45443.pif

·         approved.pif

·         application.pif

·         document.pif

·         documents.pif

Der Body-Text der E-Mail enthält ausschließlich die Zeile "Please, see the attached file." Hat sich Sobig.C einmal auf einem PC installiert, versucht er sich selbst in folgendes Verzeichnis zu kopieren:

·         /Dokumente und Einstellungen/All Users/Start Menu/Programme/Startup/

·         /Windows/All Users/Start Menu/Programme/Startup

Bei Ausführung kopiert der Wurm die Datei mscvb32b.exe, die den Virus enthält in einen Ordner namens %windir% und erstellt weiterhin die Datei msddr.dat.

Zusätzlich erstellt Sobig.C folgende Einträge in der Windows-Registry, die seine permanente Ausführung garantiert:

·         HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run

·         System MScvb = %windir%/mscvb32.exe;

·         HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

·         System MScvb = %windir%/mscvb32.exe. (ma)

Panda Software

Tel. (02065) 987-310, Fax (02065) 987-669

E-Mail: m.mertes@panda-software.de

Web: www.panda-software.de