Abo
  • Services:
Anzeige

Rapide Verbreitung: Sobig-Wurm schlägt zum vierten Mal zu

Sobig.F überträgt Trojaner auf infiziertes System und sammelt vertrauliche Daten

Mit Sobig.F verbreitet sich seit wenigen Stunden ein vierter Ableger des Sobig-Wurms mit rasanter Geschwindigkeit im Internet, wie etliche Hersteller von Antiviren-Software berichten. Dabei weist der Unhold Routinen auf, um einen Trojaner auf das infizierte System zu übertragen, welcher das Sammeln von vertraulichen Daten des Angegriffenen ermöglicht.

Anzeige

Als Besonderheit von Sobig.F umfasst der Wurm Routinen, um Programmcode auf ein infiziertes System zu übertragen und auszuführen. So lädt der Wurm einen Trojaner zur Sammlung vertraulicher Informationen, wobei der Download des Trojaners auf Montag bis Freitag von 19:00 Uhr bis 23:59:59 Uhr gemäß UTC-Zeit beschränkt ist. Zudem richtet der Bösewicht einen Spam-Relay-Server auf dem Rechner ein. Als Weiteres könnte sich der Wurm mit Hilfe dieser Routinen selbst aktualisieren. Außerdem öffnet der Wurm die folgenden Ports 995/udp, 996/udp, 997/udp, 998/udp und 999/udp auf dem infizierten System.

Zur Verbreitung per E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .dbx, .eml, .hlp, .htm, .html, .mht, .txt und .wab nach gültigen E-Mail-Adressen. Dann versendet er sich über eine eigene SMTP-Engine mit einer beliebigen Absenderadresse, die er bei der Adressensammlung gefunden hat. Somit ist der wahre Versender einer verseuchten E-Mail nicht ohne weiteres auszumachen, was die Eindämmung des Wurms erschwert. Findet der Wurm keine E-Mail-Adresse, verwendet er den Absender admin@internet.com.

Der Mail-Anhang enthält den eigentlichen Wurm, wobei die Dateinamen wechselnde Bezeichnungen tragen und auf .pif oder .scr enden. Um sich mit dem Wurm zu infizieren, muss der Anhang also manuell geöffnet werden. An das Ende des Wurm-Codes fügt Sobig.F Datenmüll an, so dass die genaue Dateigröße nicht bestimmt werden kann und eine Checksummen-Prüfung variiert.

Der Nachrichtentext enthält die Zeile "See the attached file for details" oder "Please see the attached file for details.", während die Betreffzeile zufällig aus verschiedenen Vorlagen gewählt wird. Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis unter dem Dateinamen winppr32.exe samt Konfigurationsdatei winsst32.dat ab und trägt sich in die Registry ein, so dass der Wurm bei jedem Systemstart automatisch geladen wird.

Wie auch die übrigen Sobig-Würmer beendet der nun entdeckte Unhold seine Aktivitäten zu einem festgesetzten Termin, der im Fall von Sobig.F der 9. September 2003 ist. Nach diesem Tag verbreitet sich der Wurm nicht weiter.


eye home zur Startseite
roldor 04. Sep 2003

ALSO; ICH WÜRDE einen (HOPPLA; umgeschaltet) einen abschliessbaren Tankverschluss nehmen...

Michael 21. Aug 2003

Ich hab mehr Ahnung als Du glaubst...... Wenn Du derartige Fragen nicht verstehst, dann...

PostDa 21. Aug 2003

Was hast Du denn für Ahnung ??? *Lach* Klar kann Linux sehr wohl RPC, funktioniert sogar...

Michael 20. Aug 2003

Tony, so weit sind wir ja nicht auseinander. Nur in Deiner Hacker-Verherrlichung gehst Du...

tony 20. Aug 2003

mein lieber Michael, nein, lass deinen Hut wo er ist, wenn der Hacker was wirklich böses...



Anzeige

Stellenmarkt
  1. GILDEMEISTER Beteiligungen GmbH, Bielefeld
  2. Robert Bosch GmbH, Abstatt
  3. OPERATIONAL SERVICES GMBH & CO. KG, Frankfurt
  4. Hornbach-Baumarkt-AG, Neustadt an der Weinstraße


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 61,99€

Folgen Sie uns
       

  1. Nintendo Labo

    Switch plus Pappe

  2. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  3. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  4. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  5. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  6. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  7. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  8. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  9. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  10. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Link

    xeneo23 | 02:41

  2. Re: Trotz gesteigerter Qualität fehlen mir noch...

    sofries | 02:22

  3. Re: Videos von brennenden und sterbenden Menschen...

    berritorre | 02:13

  4. Re: Abmahnanwälte dürften sich freuen

    p4m | 02:12

  5. Re: Drohnenkrieg ist aber sicher nur solange ok

    Oh je | 02:08


  1. 00:02

  2. 19:25

  3. 19:18

  4. 18:34

  5. 17:20

  6. 15:46

  7. 15:30

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel