Rapide Verbreitung: Sobig-Wurm schlägt zum vierten Mal zu

Sobig.F überträgt Trojaner auf infiziertes System und sammelt vertrauliche Daten

Mit Sobig.F verbreitet sich seit wenigen Stunden ein vierter Ableger des Sobig-Wurms mit rasanter Geschwindigkeit im Internet, wie etliche Hersteller von Antiviren-Software berichten. Dabei weist der Unhold Routinen auf, um einen Trojaner auf das infizierte System zu übertragen, welcher das Sammeln von vertraulichen Daten des Angegriffenen ermöglicht.

Artikel veröffentlicht am ,

Als Besonderheit von Sobig.F umfasst der Wurm Routinen, um Programmcode auf ein infiziertes System zu übertragen und auszuführen. So lädt der Wurm einen Trojaner zur Sammlung vertraulicher Informationen, wobei der Download des Trojaners auf Montag bis Freitag von 19:00 Uhr bis 23:59:59 Uhr gemäß UTC-Zeit beschränkt ist. Zudem richtet der Bösewicht einen Spam-Relay-Server auf dem Rechner ein. Als Weiteres könnte sich der Wurm mit Hilfe dieser Routinen selbst aktualisieren. Außerdem öffnet der Wurm die folgenden Ports 995/udp, 996/udp, 997/udp, 998/udp und 999/udp auf dem infizierten System.

Stellenmarkt
  1. Abteilungsleitung IT (m/w/d)
    PVS Limburg-Lahn GmbH, Limburg an der Lahn
  2. Junior Consultant Controlling / Berichtswesen (m/w/d)
    Lidl Dienstleistung GmbH & Co. KG, Bad Wimpfen
Detailsuche

Zur Verbreitung per E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien mit den Endungen .dbx, .eml, .hlp, .htm, .html, .mht, .txt und .wab nach gültigen E-Mail-Adressen. Dann versendet er sich über eine eigene SMTP-Engine mit einer beliebigen Absenderadresse, die er bei der Adressensammlung gefunden hat. Somit ist der wahre Versender einer verseuchten E-Mail nicht ohne weiteres auszumachen, was die Eindämmung des Wurms erschwert. Findet der Wurm keine E-Mail-Adresse, verwendet er den Absender admin@internet.com.

Der Mail-Anhang enthält den eigentlichen Wurm, wobei die Dateinamen wechselnde Bezeichnungen tragen und auf .pif oder .scr enden. Um sich mit dem Wurm zu infizieren, muss der Anhang also manuell geöffnet werden. An das Ende des Wurm-Codes fügt Sobig.F Datenmüll an, so dass die genaue Dateigröße nicht bestimmt werden kann und eine Checksummen-Prüfung variiert.

Der Nachrichtentext enthält die Zeile "See the attached file for details" oder "Please see the attached file for details.", während die Betreffzeile zufällig aus verschiedenen Vorlagen gewählt wird. Wird der Wurm aktiviert, kopiert er sich in das Windows-Verzeichnis unter dem Dateinamen winppr32.exe samt Konfigurationsdatei winsst32.dat ab und trägt sich in die Registry ein, so dass der Wurm bei jedem Systemstart automatisch geladen wird.

Wie auch die übrigen Sobig-Würmer beendet der nun entdeckte Unhold seine Aktivitäten zu einem festgesetzten Termin, der im Fall von Sobig.F der 9. September 2003 ist. Nach diesem Tag verbreitet sich der Wurm nicht weiter.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Covid 19: Google und Facebook kündigen Impfpflicht für Mitarbeiter an
    Covid 19
    Google und Facebook kündigen Impfpflicht für Mitarbeiter an

    Googles und Facebooks Angestellte dürfen nur mit Corona-Impfung zurück ins Büro. Apple überlegt noch.

  2. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

roldor 04. Sep 2003

ALSO; ICH WÜRDE einen (HOPPLA; umgeschaltet) einen abschliessbaren Tankverschluss nehmen...

Michael 21. Aug 2003

Ich hab mehr Ahnung als Du glaubst...... Wenn Du derartige Fragen nicht verstehst, dann...

PostDa 21. Aug 2003

Was hast Du denn für Ahnung ??? *Lach* Klar kann Linux sehr wohl RPC, funktioniert sogar...

Michael 20. Aug 2003

Tony, so weit sind wir ja nicht auseinander. Nur in Deiner Hacker-Verherrlichung gehst Du...

tony 20. Aug 2003

mein lieber Michael, nein, lass deinen Hut wo er ist, wenn der Hacker was wirklich böses...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /