Explosionsartige Verbreitung eines weiteren Sobig-Wurms

Starke Verbreitung durch gefälschte Absenderadressen. Zum dritten Mal in Folge schafft es eine Variante des Sobig-Wurms, sich besonders rasant im Internet zu verbreiten. Auch der Wurm Sobig.E beendet seine Aktivitäten ab einem bestimmten Datum und ist danach nicht mehr aktiv. Dabei werden gefälschte Absenderadressen verwendet, was die Identifikation des befallenen Systems stark erschwert.

26. Juni 2003 um 10:10 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Nach Informationen zahlreicher Hersteller von Antiviren-Software hat sich auch der Wurm Sobig.E in kürzester Zeit sehr stark verbreitet. Zur Verbreitung über E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .wab, .dbx, .htm, .html, .eml sowie .txt nach gültigen E-Mail-Adressen. Dann versendet sich der Wurm über eine eigene SMTP-Engine mit einer beliebigen Absenderadresse, die er bei der Adressensammlung gefunden hat. Somit ist der wahre Versender einer verseuchten E-Mail nicht ohne weiteres auszumachen, was die Eindämmung des Wurms erschwert.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Teamleiter*in Anwendungsentwicklung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)

Teamleitung Produktdatenmanagement (m/w/d) FC-Moto GmbH & Co. KG, Aachen (öffnet im neuen Fenster)

IT-Projektmanager (m/w/d) Logistik Transgourmet Deutschland GmbH & Co. OHG, Riedstadt (öffnet im neuen Fenster)

Identity-Management Experte (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)

Space Planner - Support & Qualitätsmanagement (w/m/d) dm-drogerie markt GmbH + Co. KG, Karlsruhe (öffnet im neuen Fenster)

Application Analyst - SAP ERP & Cloud (m/w/d) GEBHARDT Fördertechnik GmbH, Sinsheim (öffnet im neuen Fenster)

ERP-Systembetreuer (m/w/d) Alexander Binzel Schweisstechnik GmbH & Co. KG, Buseck (öffnet im neuen Fenster)

Machine Learning Engineer (m/w/d) | DSIANA Atruvia AG, Karlsruhe,Münster (öffnet im neuen Fenster)

Die Wurm-Komponente befindet sich - wie üblich - im Mail-Anhang mit wechselnden Bezeichnungen, der vom Anwender manuell geöffnet werden muss und zudem sogar komprimiert ist. Das bedeutet, dass man als Betroffener recht viel Aufwand betreiben muss, um den verseuchten Anhang zu öffnen und die Wurm-Verbreitung zu aktivieren. Die Betreffzeile erzeugt der Wurm aus einer Auswahl von mehreren Textteilen, während der Nachrichtentext immer "Please see the attached zip file for details." lautet. Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis und legt einen Registry-Eintrag an, um so bei jedem Systemstart automatisch geladen zu werden.

Neben der Mail-Verbreitung sucht der Wurm nach angeschlossenen Netzlaufwerken und versucht sich in die Autostartordner der betreffenden Windows-Verzeichnisse zu kopieren, um so auch auf anderen Systemen beim Programmstart geladen zu werden. Am 14. Juli 2003 beendet der Wurm sämtliche Aktivitäten und verbreitet sich somit nur bis zum 13. Juli 2003.

Die meisten Hersteller von Antiviren-Software stellen bereits aktualisierte Virensignaturen zum Download bereit. Symantec bietet ein kostenloses Tool(öffnet im neuen Fenster) an, um den Wurm von einem befallenen System zu entfernen.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen