Rapide Verbreitung: Sobig-Wurm schlägt zum vierten Mal zu

Sobig.F überträgt Trojaner auf infiziertes System und sammelt vertrauliche Daten

Mit Sobig.F verbreitet sich seit wenigen Stunden ein vierter Ableger des Sobig-Wurms mit rasanter Geschwindigkeit im Internet, wie etliche Hersteller von Antiviren-Software berichten. Dabei weist der Unhold Routinen auf, um einen Trojaner auf das infizierte System zu übertragen, welcher das Sammeln von vertraulichen Daten des Angegriffenen ermöglicht.

Als Besonderheit von Sobig.F umfasst der Wurm Routinen, um Programmcode auf ein infiziertes System zu übertragen und auszuführen. So lädt der Wurm einen Trojaner zur Sammlung vertraulicher Informationen, wobei der Download des Trojaners auf Montag bis Freitag von 19:00 Uhr bis 23:59:59 Uhr gemäß UTC-Zeit beschränkt ist. Zudem richtet der Bösewicht einen Spam-Relay-Server auf dem Rechner ein. Als Weiteres könnte sich der Wurm mit Hilfe dieser Routinen selbst aktualisieren. Außerdem öffnet der Wurm die folgenden Ports 995/udp, 996/udp, 997/udp, 998/udp und 999/udp auf dem infizierten System.

Zur Verbreitung per E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .dbx, .eml, .hlp, .htm, .html, .mht, .txt und .wab nach gültigen E-Mail-Adressen. Dann versendet er sich über eine eigene SMTP-Engine mit einer beliebigen Absenderadresse, die er bei der Adressensammlung gefunden hat. Somit ist der wahre Versender einer verseuchten E-Mail nicht ohne weiteres auszumachen, was die Eindämmung des Wurms erschwert. Findet der Wurm keine E-Mail-Adresse, verwendet er den Absender admin@internet.com.

Der Mail-Anhang enthält den eigentlichen Wurm, wobei die Dateinamen wechselnde Bezeichnungen tragen und auf .pif oder .scr enden. Um sich mit dem Wurm zu infizieren, muss der Anhang also manuell geöffnet werden. An das Ende des Wurm-Codes fügt Sobig.F Datenmüll an, so dass die genaue Dateigröße nicht bestimmt werden kann und eine Checksummen-Prüfung variiert.

Der Nachrichtentext enthält die Zeile "See the attached file for details" oder "Please see the attached file for details.", während die Betreffzeile zufällig aus verschiedenen Vorlagen gewählt wird. Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis unter dem Dateinamen winppr32.exe samt Konfigurationsdatei winsst32.dat ab und trägt sich in die Registry ein, so dass der Wurm bei jedem Systemstart automatisch geladen wird.

Wie auch die übrigen Sobig-Würmer beendet der nun entdeckte Unhold seine Aktivitäten zu einem festgesetzten Termin, der im Fall von Sobig.F der 9. September 2003 ist. Nach diesem Tag verbreitet sich der Wurm nicht weiter.