W32.Sobig.C@mm

Virus-Warnung  -  Virus-Beschreibung

Name:                       W32.Sobig.C@mm

Alias:                      W32/Sobig.c@MM [McAfee]

                            Win32/Sobig.C [ESET]

                            Sobig.C [F-Secure]

                            I-Worm.Sobig.c [KAV]

                            WORM_SOBIG.C [Trend]

Art:                        Wurm

Groesse des Anhangs:        ca. 59 kB

Betriebssystem / Software:  Microsoft Windows

Art der Verbreitung:        Massenmail, Netzwerk

Verbreitungsgrad:           mittel - hoch

Risiko bei Aktivierung:     mittel

Schadensfunktion:           Massenmail

Entfernung:                 aktuelle Virendefinitionen (ab 02.06.2003)

Spezielle Entfernung:       Tool

Bekannt seit:               31.05.2003

Beschreibung:

W32.Sobig.C@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen

SMTP-Maschine an alle Adressen verschickt, die er in Dateien mit

folgenden Endungen findet:

   .wab 

   .dbx 

   .htm 

   .html 

   .eml 

   .txt

Er ist in Microsoft Visual C++ geschrieben und mit (non-standard) UPX

komprimiert.

Wenn der Wurm aktiviert wird, kopiert er sich als Datei mscvb32.exe in

das Windows-Verzeichnis und erzeugt die Dateien:

   %Windir%\msddr.dll

   %Windir%\msddr.dat

(%Windir% ist eine Variable, die als Wert das Verzeichnis enthaelt, in

dem Windows installiert ist.)

Mit dem Registry-Schluessel

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   "System MScvb"="%Windir%\mscvb32.exe"

wird er bei jedem Start von Windows aktiviert. Bei den Betriebssystemen

Windows NT/2000/XP wird ausserdem der Schluessel

   HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   "System MScvb"="%Windir%\mscvb32.exe"

erzeugt.

Die von W32.Sobig.C@mm verschickten Mails haben folgende Merkmale:

Absender-Adresse: bill@microsoft.com

Betreff:          Re: Movie

                  Re: Submited (004756-3463)

                  Re: 45443-343556

                  Re: Approved

                  Approved

                  Re: Your application

                  Re: Application

Nachrichtentext:  "Please see the attached file."

Anhang:           screensaver.scr

                  movie.pif

                  submited.pif

                  45443.pif

                  documents.pif

                  approved.pif

                  application.pif

                  document.pif

Die angehaengte Datei ist ca. 59.000 Bytes gross.

Hinweis: Microsoft versendet grundsaetzlich keine Dateien per E-Mail.

Siehe hierzu:

<<http://www.microsoft.com/technet/security/policy/swdist.asp>>

Netzwerkverbreitung

Der Wurm verbreitet sich auch ueber Freigaben in SMB-Netzwerken. Dazu

kopiert er sich bei freigegebenen Verzeichnissen in die Ordner:

   Windows\All Users\Start Menu\Programs\StartUp 

   Documents and Settings\All Users\Start Menu\Programs\Startup

Damit wird das Programm beim Start von Windows aktiviert.

Hinweis: Bei deutschsprachigen Windowsversionen existieren diese

Verzeichnisse nicht.

W32.Sobig.C@mm verbreitet sich nur bis zum 07.06.2003. Nach diesem

Zeitpunkt deaktiviert er sich von selbst.

Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen

ab dem 02.06.2003 erkennen diesen Wurm.

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn