Starke Wurm-Verbreitung durch fingierte Absenderadresse

Der aktuell im Internet herumgeisternde Wurm wurde von den Antivirenlabors mit verschiedenen Bezeichnungen versehen und trägt daher die Namen Sobig.B, Mankx und Palyh. Zur möglichst weitreichenden Verbreitung über E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .wab, .dbx, .htm, .html, .eml sowie .txt nach gültigen E-Mail-Adressen. Dann versendet sich der Wurm über eine eigene SMTP-Engine mit der Absenderadresse support@microsoft.com, um dem Empfänger vorzugaukeln, die E-Mail stamme von Microsoft.

Die Wurm-Komponente befindet sich - wie üblich - im Mail-Anhang, der vom Anwender manuell geöffnet werden muss, damit der Wurm aktiv wird. Die Betreffzeile erzeugt der Wurm aus einer Auswahl von neun Textteilen, während der Nachrichtentext immer "All information is in the attached file." lautet. Auch der Mail-Anhang erhält wechselnde Dateinamen, wird aber meist als .pif-Datei versendet; gelegentlich wird die Dateiendung auf .pi verkürzt.

Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis und legt einen Registry-Eintrag an, um so bei jedem Systemstart automatisch geladen zu werden. Ferner versucht der Wurm Daten von vier Webseiten auf einem Geocities-Server zu laden.

Neben der Mail-Verbreitung sucht der Wurm nach angeschlossenen Netzlaufwerken und kopiert sich in die Autostartordner der betreffenden Windows-Verzeichnisse, um so auch auf anderen Systemen beim Programmstart geladen zu werden. Am 31. Mai 2003 beendet der Wurm sämtliche Aktivitäten und verbreitet sich somit nur bis zum 30. Mai 2003.

Die meisten Hersteller von Antiviren-Software stellen bereits aktualisierte Virensignaturen zum Download bereit. Symantec bietet ein kostenloses Tool an, um den Wurm von einem befallenen System entfernen zu können.