|
|
Rubrik: Virenwarnung/Aktuelle Meldungen H+BEDV: Neuer Computervirus "Worm/Sobig.F" breitet sich rasant aus Passwortdateien eines infizierten Rechnersystems können ins Internet (21.08.03) - Die Antivirenspezialisten der H+BEDV Datentechnik GmbH warnen vor einem neuen, äußerst gefährlichen Computervirus, der sich mit rasender Geschwindigkeit im Internet ausbreitet. H+BEDV hat bereits reagiert und ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware steht auf dem Server www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien AntiVir Private Edition gegen den ungebetenen Besucher von www.free-av.de schützen.
Anzeige
Erste Analysen zeigen, dass es sich bei Sobig.F um einen äußerst aggressiven Wurm mit Update-Funktion handelt. Der Wurm verbreitet sich unter Windows 9x, Me, 2000 und XP. Wie auch schon seine Vorgänger verschickt Sobig.F sich mit Hilfe einer eigenen SMTP Engine (einem eigenen Versende-Postamt im Internet) per E-Mail. Der Wurm ist ungefähr 70KB groß, mit TElock gepackt und ursprünglich in Visual C geschrie-ben. Er versucht einer genauen Entdeckung durch Längenvariation zu entgehen. Darüber hinaus kann der Wurm Dateien aus dem Internet nachladen und sich so beispielsweise selbst updaten oder auch neue Dateien ausführen. Über diese Funktionalität können aber auch wichtige und schützenswerte Informationen (Passwortdateien) eines infizierten Rechnersystems ins Internet übermittelt werden. Auch ein Spam Relay ist denkbar. Für die nötigen Datumsberechnungen verwendet der Wurm das NTP-Protokoll. Sobig.F öffnet auf dem lokalen System die Ports 995 bis 999 für UDP-Zugriffe und wartet auf für ihn bestimmte Nachrichten, beispielsweise Download und Ausführen eines Trojaners. Der Wurm ist bis zum 10. September aktiv. Danach deaktiviert er sich von selbst, sofern es bis zu diesem Zeitpunkt nicht über Fernsteuerung aktualisiert oder ersetzt wurde. Bis zu diesem Datum ist allerdings mit einem erhöhten E-Mailaufkommen zu rechnen. Darüber hinaus verbreitet sich der Wurm auch über offene Netzwerk Shares. Weitere Informationen zu Viren und speziell diesem Wurm erhalten Sie im Internet unter www.antivir.de/vireninfo/sobig_f.htm. Technische Zusatzinformationen Der Wurm ist an einer der folgenden Betreff-Zeilen im
Kopf einer E-Mail zu erkennen: Re: That
movie Re:
Wicked screensaver Re: Your
application Re:
Approved Re: Re:
My details Re:
Details Thank
you! Re: Thank
you! Der eigentliche Inhalt einer E-Mail besteht aus einer
der folgenden Textzeilen: Please
see the attached file for details. See the
attached file for details Der Name des Dateianhangs kann aus folgenden Namen
bestehen: movie0045.pif wicked_scr.scr application.pif document_9446.pif details.pif your_details.pif thank_you.pif document_all.pif your_document.pif Obwohl der Dateianhang auf eine eher "unverfängliche" Dateiendung lautet, werden diese üblicherweise unter einer Standardinstallation nicht angezeigt. Gültige E-Mail-Adressen erhält der Wurm aus Dateien mit
folgenden Endungen eines infizierten Rechners: dbx mht htm html wab hlp txt eml Der Absender-Name kann admin@internet.com lauten, aber auch aus zufällig gewählten Bestandteilen zusammengesetzt werden. Wird der Anhang der Viren-E-Mail auf einem Rechner ausgeführt, kopiert er sich nach %windir%/winppr32.exe, wobei %windir% für das Installationsverzeichnis von Windows steht, dies ist bei Windows XP üblicherweise c:/windows. Er erzeugt zusätzlich eine Datei in %windir%/winstt32.dat Darüber hinaus erzeugt er folgende Registry-Einträge: [HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] mit dem Inhalt "TrayX"="C://WINDOWS//winppr32.exe /sinc" und [HKCU/Software/Microsoft/Windows/CurrentVersion/Run] mit dem Inhalt "TrayX"="C://WINDOWS//winppr32.exe /sinc". (ma) H+BEDV Datentechnik GmbH Kontakt: Reinhold Hammer Lindauer Straße 21, D-88069 Tettnang Tel.
(07542) 93040, Fax (07542) 52510 Mail: rhammer@antivir.de |
