|
W32.Sobig.F@mm
Virus-Warnung -
Virus-Beschreibung
Name |
|
W32.Sobig.F@mm |
|
Alias |
|
Sobig.F [F-Secure]
W32/Sobig.F@MM [McAfee]
WORM_SOBIG.F [TrendMicro] |
|
Art |
|
Wurm |
|
Groesse
des Anhangs |
|
72.000 (mit TELock gepackt) |
|
Betriebssystem / Software |
|
Microsoft Windows |
|
Art
der Verbreitung |
|
Massenmailing |
|
Verbreitungsgrad |
|
hoch |
|
Risiko bei Aktivierung |
|
mittel |
|
Schadensfunktion |
|
Massenmailing (Absender gefaelscht!)
Trojanisches Pferd, das Rechner als
SPAM-Relay-Server nutzt |
|
Entfernung |
|
aktuelle Definitionen (ab 19.08.2003) |
|
Spezielle Entfernung |
|
Tool |
|
Bekannt seit |
|
19.08.2003 |
Beschreibung:
W32.Sobig.F@mm ist ein Massenmail-Wurm, der sich mit
seiner eigenen
SMTP-Maschine an alle Adressen sendet, die er in Dateien
mit der
Endung:
.wab
.dbx
.htm
.html
.eml
.txt
.hlp
.mht
findet.
Bei der Infektion kopiert er sich als Datei WinPPR32.EXE
in das Windows-Verzeichnis und sorgt mit den
Registrierungsschluesseln:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunTrayX
= "%Windir%\WinPPR32.EXE /sinc"
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunTrayX
= "%Windir%\WinPPR32.EXE /sinc"
dafuer, dass er
beim Rechnerstart aktiviert wird.
E-Mail-Verbreitung
Von:
admin@internet.com
oder existierenden E-Mail-Adressen, die auf einem
infizierten Computer gefunden wurden (Achtung, diese
Absender-Adressen
sind gefaelscht)!
Betreff:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Nachrichtentext:
See the
attached file for details
Please see the attached zip file for details.
Anhang:
Die angehaengte
Datei hat einen der folgenden Namen.
application.zip
application.pif
details.zip
details.pif
document_9446.zip
document_9446.pif
document_all.zip
document_all.pif
movie0045.zip
movie0045.pif
thank_you.zip
thank_you.pif
your_details.zip
your_details.pif
your_document.zip
your_document.pif
wicked_scr.zip
wicked_scr.scr
Der Wurm laedt
aus dem Internet Dateien, die beim Ausfuehren dafuer
genutzt werden, den infizierten Rechner in einen
SPAM-Relay-Server
umzuwandeln.
Administratoren wird empfohlen die folgenden Ports zu
sperren
UDP 99x (hereinkommend)
UDP 8998 (herausgehend)
W32.Sobig.F@mm verbreitet sich nur bis zum 09.09.2003.
Nach diesem
Zeitpunkt deaktiviert er sich von selbst.
Eine Verbreitung nach diesem Zeitpunkt ist moeglich, wenn
auf dem
infizierten Rechner die Systemzeit falsch eingestellt ist!
Entfernungs-Programm
Von F-Secure wird ein spezielles Entfernungs-Programm
unter
<http://www.f-secure.com/v-descs/sobig_f.shtml>
fuer W32.Sobig.F@mm
zum kostenlosen Download bereitgestellt.
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
| 
