Und wieder geistert ein elektronischer Wurm durch das Internet, der sich nach verschiedenen Berichten bereits rasend schnell verbreitet. "Sobig.F" ist ähnlich gestrickt wie die früheren Sobig-Varianten, die bereits mehrmals für Furore sorgten. Aktuelle Gefahr: Infizierte Computer fristen dank Sobig.F künftig ein Leben als Relay-Server für Spammer. Der Wurm verschickt sich selbst über eine integrierte SMTP-Engine an alle E-Mail-Adressen, die er auf dem jeweiligen Rechner findet. Er durchsucht dazu unter anderem Dateien mit den Endungen .html, .eml und .txt. An diese Adressen versendet er anschließend Mails mit verschiedenen Betreffs (zum Beispiel: "Re: Details", "Re: Approved" oder "Thank you!"), dem Nachrichtentext "See the attached file for details" und einem gefährlichen Dateianhang. Der Absender ist entweder "admin@internet.com" oder eine auf dem PC gefundene Adresse. Auch das Attachment kann unterschiedlichste Namen annehmen (etwa "details.zip", "document_all.pif" oder "thank_you.zip") und enthält den eigentlichen Schädling. Wie üblich gilt: Wer diesen Anhang aus Unwissenheit oder Neugier doppelklickt, infiziert seinen Rechner. Sobig.F legt dann die Datei "WinPPR32.exe" in das Windows-Verzeichnis und modifiziert die Registry, sodass er bei jedem Neustart des Computers wieder aktiviert wird. Damit aber noch nicht genug: Sobig.F lädt aus dem Internet weitere Dateien, die den infizierten Rechner in einen Spam-Relay-Server verwandeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie zahlreiche Antivirenhersteller haben bereits Warnungen vor Sobig.F herausgegeben. F-Secure hat ein kostenloses Tool veröffentlicht, das den Wurm von einem befallenen Rechner entfernt. Das BSI rät Firewall-Administratoren folgende Ports zu sperren: Incoming UDP 99x und Outgoing UDP 8998. Sobig.F verbreitet sich nur bis zum 9.9.2003, anschließend deaktiviert er sich laut Angaben des BSI selbst. (afi)
21.08.2003
Und wieder geistert ein elektronischer Wurm durch das Internet, der sich nach verschiedenen Berichten bereits rasend schnell verbreitet. "Sobig.F" ist ähnlich gestrickt wie die früheren Sobig-Varianten, die bereits mehrmals für Furore sorgten. Aktuelle Gefahr: Infizierte Computer fristen dank Sobig.F künftig ein Leben als Relay-Server für Spammer. Der Wurm verschickt sich selbst über eine integrierte SMTP-Engine an alle E-Mail-Adressen, die er auf dem jeweiligen Rechner findet. Er durchsucht dazu unter anderem Dateien mit den Endungen .html, .eml und .txt. An diese Adressen versendet er anschließend Mails mit verschiedenen Betreffs (zum Beispiel: "Re: Details", "Re: Approved" oder "Thank you!"), dem Nachrichtentext "See the attached file for details" und einem gefährlichen Dateianhang. Der Absender ist entweder "admin@internet.com" oder eine auf dem PC gefundene Adresse. Auch das Attachment kann unterschiedlichste Namen annehmen (etwa "details.zip", "document_all.pif" oder "thank_you.zip") und enthält den eigentlichen Schädling. Wie üblich gilt: Wer diesen Anhang aus Unwissenheit oder Neugier doppelklickt, infiziert seinen Rechner. Sobig.F legt dann die Datei "WinPPR32.exe" in das Windows-Verzeichnis und modifiziert die Registry, sodass er bei jedem Neustart des Computers wieder aktiviert wird. Damit aber noch nicht genug: Sobig.F lädt aus dem Internet weitere Dateien, die den infizierten Rechner in einen Spam-Relay-Server verwandeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie zahlreiche Antivirenhersteller haben bereits Warnungen vor Sobig.F herausgegeben. F-Secure hat ein kostenloses Tool veröffentlicht, das den Wurm von einem befallenen Rechner entfernt. Das BSI rät Firewall-Administratoren folgende Ports zu sperren: Incoming UDP 99x und Outgoing UDP 8998. Sobig.F verbreitet sich nur bis zum 9.9.2003, anschließend deaktiviert er sich laut Angaben des BSI selbst. (afi)