Auch neue Variante des Sobig-Wurms verbreitet sich stark
Nach Informationen zahlreicher Hersteller von Antiviren-Software soll sich auch der Wurm Sobig.C stark verbreitet haben, nachdem er am 31. Mai 2003 entdeckt wurde. Zur Verbreitung über E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .wab, .dbx, .htm, .html, .eml sowie .txt nach gültigen E-Mail-Adressen. Dann versendet sich der Wurm über eine eigene SMTP-Engine mit der Absenderadresse bill@microsoft.com, um den Empfänger glauben zu lassen, die E-Mail stamme von Microsoft.
Die Wurm-Komponente befindet sich – wie üblich – im Mail-Anhang, der vom Anwender manuell geöffnet werden muss, damit der Wurm aktiv wird. Die Betreffzeile erzeugt der Wurm aus einer Auswahl von sieben Textteilen, während der Nachrichtentext immer "Please see the attached file." lautet. Auch der Mail-Anhang erhält wechselnde Dateinamen, wird aber immer als .pif- oder .scr-Datei versendet. Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis und legt einen Registry-Eintrag an, um so bei jedem Systemstart automatisch geladen zu werden. Ferner versucht der Wurm, Daten von vier verschiedenen Webseiten auf einem Geocities-Server zu laden.
Neben der Mail-Verbreitung sucht der Wurm nach angeschlossenen Netzlaufwerken und kopiert sich in die Autostartordner der betreffenden Windows-Verzeichnisse, um so auch auf anderen Systemen beim Programmstart geladen zu werden. Am 8. Juni 2003 beendet der Wurm sämtliche Aktivitäten und verbreitet sich somit nur bis zum 7. Juni 2003.
Die meisten Hersteller von Antiviren-Software stellen bereits aktualisierte Virensignaturen zum Download bereit. Symantec bietet ein kostenloses Tool(öffnet im neuen Fenster) an, um den Wurm von einem befallenen System entfernen zu können.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.