|
|
Rubrik: Virenwarnung/Aktuelle Meldungen MessageLabs: Neuer Virus-Alert - W32/Sobig.F-mm "Sobig"-Familie erhält erneut Zuwachs (21.08.03) - MessageLabs, weltweit führender Managed Service Provider, der sich auf Sicherheitsdienst-leistungen im E-Mail-Bereich spezialisiert hat, hat Kopien eines neuen Mass-Mailing-Virus mit dem Namen W32/Sobig.F-mm abgefangen. Die ersten betroffenen Mails stammten, wie schon bei den ersten Varianten des Sobig-Virus, aus den USA.
Anzeige
Name: W32/Sobig.F-mm Bisher abgefangene Kopien: 1.124 (schneller Zuwachs) Uhrzeit und Datum des ersten Zwischenfalls: 18. August 2003 21:04 GMT Ursprungsland der ersten infizierten E-Mail: USA Am stärksten betroffene Länder: USA (95%), Dänemark (3%), Norwegen (1%) Charakteristika Ersten Analysen zufolge handelt es sich bei Sobig.F um einen Mass-Mailer, der sich unerwartet schnell verbreitet und zudem als polymorpher Vertreter seiner Art vielfältige Formen annehmen kann. Die Absender-Adresse ist meist "gespooft" und spiegelt somit nicht die wahre Identität des Senders wieder. Frühere Varianten des Sobig-Virus versteckten sich zum Teil in Attachments mit verkürzten Erweiterungen des Dateinamens, beispielsweise .zi anstatt .zip. Dieses Phänomen konnte bis dato bei Sobig.F noch nicht beobachtet werden. Die E-Mail kann zudem folgende
Charakteristika aufweisen: Betreff: Re: Details Nachrichtentext: Please see attached file for
details. Attachment: your_document.pif, details.pif,
your_details.pif, thank_you.pif, movie0045.pif, document_Fall.pif,
application.pif, document_9446.pif Die durchschnittliche Dateigröße beträgt 74kb, variiert jedoch von Generation zu Generation, um so lokal installierte Antivirus-Lösungen zu umgehen. Damit bedient sich die "Sobig"-Familie eines Mechanismus, der stark an die Yaha-Viren erinnert. Erste Kopien von Sobig.F sind mittels TELock komprimiert, es ist jedoch durchaus denkbar, dass sich Exemplare mit anderen Komprimierungsvarianten im Umlauf befinden. Virus-Detection MessageLabs hat alle Stränge dieses Virus mit Hilfe ihrer
patentierten heuristischen Technologie Skeptic proaktiv erkannt und
abgefangen. Weitere Informationen finden Sie unter www.messagelabs.com. (ma) MessageLabs Office
UK: Tel:
(0044-1452) 627627, Fax (0044-1452) 627628 Sales: E-Mail: salesquery@messagelabs.com General: E-Mail: info@messagelabs.com Web: www.messagelabs.com
|
