|
Virus-Warnung -
Virus-Beschreibung
Name |
|
W32.Sobig.C@mm |
|
Alias |
|
Win32.Sobig.E
[CA]
W32/Sobig-E [Sophos]
W32/Sobig.e@MM [McAfee]
WORM_SOBIG.E [Trend] |
|
Art |
|
Wurm |
|
Groesse
des Anhangs |
|
82.199
Bytes (86.528 Bytes entpackt) |
|
Betriebssystem / Software |
|
Microsoft Windows 32bit |
|
Art
der Verbreitung |
|
Massenmailing, Netzwerk |
|
Verbreitungsgrad |
|
mittel hoch |
|
Risiko bei Aktivierung |
|
mittel |
|
Schadensfunktion |
|
Massenmail |
|
Entfernung |
|
|
|
Spezielle Entfernung |
|
Tool |
|
Bekannt seit |
|
25. Juni 2003 |
Beschreibung:
w32.sobig.e@mm ist ein massenmail-wurm,
der sich mit seiner eigenen smtp-maschine an alle
adressen sendet, die er in dateien mit der endung: .wab
.dbx .htm .html .eml .txt findet.
Bei der Infektion kopiert er sich als Datei WinSSK32.EXE
ins Windows Verzeichnis und sorgt mit den
Registrierungsschluesseln:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run SSK Service = "%Windows%\WinSSK32.EXE"
und bei Windows NT/2000/XP zusaetzlich
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run SSK Service = "%Windows%\WinSSK32.EXE"
dafuer, dass er beim Rechnerstart aktiviert wird.
E-Mail-Verbreitung
Von: support@yahoo.com
Anmerkung:
W32.Sobig.E@mm traegt auch andere,
existierende E-Mail Adressen ein!
Betreff:
Re: Application Re: Movie Re: Movies Re:
Submitted Re: ScRe:ensaver Re: Documents Re: Re:
Application ref 003644 Re: Re: Document Your application
Application.pif Applications.pif movie.pif
Screensaver.scr submited.pif new document.pif Re:
document.pif 004448554.pif Referer.pif
Nachrichtentext:
Please see the attached file for details.
Anhang:
Die angehaengte Datei ist eine der
folgenden ZIP-Dateien. Darin ent halten ist eine Datei,
deren Namen in Klammern angegeben ist.
your_details.zip (enthaelt details.pif)
application.zip (enthaelt application.pif) document.zip
(enthaelt document.pif) screensaver.zip (enthaelt
sky.world.scr) movie.zip (enthaelt Movie.pif)
Die ZIP-Datei ist 82.199 (oder 82.243)
Bytes gross. Die entpackte Datei hat eine Groesse von
86.528 Bytes.
Netzwerkverbreitung:
Der Wurm kopiert sich bei freigegebenen
Laufwerken in die folgenden Verzeichnisse:
Windows\All Users\Start Menu\Programs\Startup\
Documents and Settings\All Users\Start Menu\Programs\Startup
Anmerkung: Diese Verzeichnisse existieren
nicht in deutschsprachigen Versionen von Windows.
W32.Sobig.E@mm verbreitet sich nur bis
zum 13.07.2003. Nach diesem Zeitpunkt deaktiviert er
sich von selbst. Eine Verbreitung nach diesem Zeitpunkt
ist moeglich, wenn auf dem infizierten Rechner die
Systemzeit falsch eingestellt ist!
Entfernungs-Programm
Von Symantec wird ein spezielles
Entfernungs-Programm fuer W32.Sobig.E@mm zum kostenlosen
Download bereitgestellt.
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
| 
