Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Starke Wurm-Verbreitung durch fingierte Absenderadresse

Ungewöhnlich: Wurm-Verbreitung endet am 30. Mai 2003. Zahlreiche Hersteller von Antiviren-Software berichten über die explosionsartige Verbreitung eines Mail-Wurms, der als vermeintlichen Absender eine Microsoft-Adresse verwendet. Neben der E-Mail-Verbreitung kopiert sich der Wurm auch über angeschlossene Netzlaufwerke. Erstaunlicherweise verbreitet sich der Wurm nur bis zum 30. Mai 2003 und beendet danach seine Aktivitäten.
/ Ingo Pakalski
Kommentare News folgen (öffnet im neuen Fenster)

Der aktuell im Internet herumgeisternde Wurm wurde von den Antivirenlabors mit verschiedenen Bezeichnungen versehen und trägt daher die Namen Sobig.B, Mankx und Palyh. Zur möglichst weitreichenden Verbreitung über E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .wab, .dbx, .htm, .html, .eml sowie .txt nach gültigen E-Mail-Adressen. Dann versendet sich der Wurm über eine eigene SMTP-Engine mit der Absenderadresse support@microsoft.com, um dem Empfänger vorzugaukeln, die E-Mail stamme von Microsoft.

Die Wurm-Komponente befindet sich – wie üblich – im Mail-Anhang, der vom Anwender manuell geöffnet werden muss, damit der Wurm aktiv wird. Die Betreffzeile erzeugt der Wurm aus einer Auswahl von neun Textteilen, während der Nachrichtentext immer "All information is in the attached file." lautet. Auch der Mail-Anhang erhält wechselnde Dateinamen, wird aber meist als .pif-Datei versendet; gelegentlich wird die Dateiendung auf .pi verkürzt.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Cyber Defence Center Lead (m/w/d) Heidelberger Druckmaschinen AG, Wiesloch (öffnet im neuen Fenster)
IT-Fachreferent*in Revision – Strategische Weiterentwicklung der Revision – Digitalisierung & IT Generalverwaltung der Max-Planck-Gesellschaft, München (öffnet im neuen Fenster)
Kaufmännische*r Sachbearbeiter*in Beschaffung, Verträge und Datenanalyse Vollzeit / Teilzeit Landeshauptstadt Kiel, Kiel (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) für den IT-Support (1st und 2nd Level) Infokom GmbH, Bad Nauheim (öffnet im neuen Fenster)
Senior Softwareentwickler (m/w/d) Schwerpunkt Anwendungsentwicklung KNDS Deutschland Mission Electronics GmbH, Konstanz (öffnet im neuen Fenster)
Modern Workplace Engineer (m/w/d) JUMO GmbH & Co. KG, Fulda (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) Schwerpunkt Anwendugsentwicklung KNDS Deutschland Mission Electronics GmbH, Konstanz (öffnet im neuen Fenster)
Cyber Security Engineer (m/w/d) KNDS Deutschland Mission Electronics GmbH, Konstanz (öffnet im neuen Fenster)

Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis und legt einen Registry-Eintrag an, um so bei jedem Systemstart automatisch geladen zu werden. Ferner versucht der Wurm Daten von vier Webseiten auf einem Geocities-Server zu laden.

Neben der Mail-Verbreitung sucht der Wurm nach angeschlossenen Netzlaufwerken und kopiert sich in die Autostartordner der betreffenden Windows-Verzeichnisse, um so auch auf anderen Systemen beim Programmstart geladen zu werden. Am 31. Mai 2003 beendet der Wurm sämtliche Aktivitäten und verbreitet sich somit nur bis zum 30. Mai 2003.

Die meisten Hersteller von Antiviren-Software stellen bereits aktualisierte Virensignaturen zum Download bereit. Symantec bietet ein kostenloses Tool(öffnet im neuen Fenster) an, um den Wurm von einem befallenen System entfernen zu können.

Zur Startseite Kommentare

Relevante Themen

SoftwareToolsSecurityDatensicherheitVirusAnti-Virus