Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1135

[MS/Generic] E-Mail-Wurm Sobig.F massenhaft in Umlauf
(2003-08-20 16:59:15.783364+00)

Quelle: http://www.f-secure.com/v-descs/sobig_f.shtml

Eine neue Variante des Sobig-Wurmes verbreitet sich seit Dienstag (2003-08-19) massenhaft im Netz. Nach erfolgreicher Infektion eines Systems verschickt er sich selbst in E-Mail-Nachrichten mit gefälschten Absenderadressen.

Betroffene Systeme

Einfallstor

  • Infektion: E-Mail-Attachment
  • Wurm-Update: 995/udp, 996/udp, 997/udp, 998/udp, 999/udp
  • Auswirkung

    Typ der Verwundbarkeit
    E-Mail-Wurm

    Gefahrenpotential
    mittel bis hoch
    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung
    Sobig.F ist eine Variante des bekannten Sobig.A-Wurmes, der seit Januar 2003 unterwegs war. Offenbar ist die F-Variante sehr virulent. Das RUS-CERT erreichen derzeit zahlreiche Meldungen von Sichtungen massenhaften Auftretens dieses Wurmes. Da der Wurm neben dem Absender- offenbar auch weitere Headers fälscht, sorgt der Wurm nicht nur durch die Überflutung von Briefkästen mit infiziertem Spam für Aufregung.

    Nach erfolgreicher Infektion eines Rechnersystems sucht der Wurm nach E-Mail-Adressen in Dateien mit den Endungen:

      .dbx
      .eml
      .hlp  
      .htm  
      .html  
      .mht  
      .wab  
      .txt
    
    Sodann verbreitet er sich durch das Versenden von E-Mail an diese Adressen, wobei die Absenderadressen gefälscht werden. In den derzeit in Umlauf befindlichen Versionen erzeugt der Wurm dabei Nachrichten mit einem der folgenden Subjects ("Betreff"-Zeilen):
    Subject: Außerdem wird ein weiterer X-Header eingebaut, der offenbar suggerieren soll, daß die Nachricht von einem Virenfilter als nicht infiziert erkannt wurde:
       X-MailScanner: Found to be clean
    
    Im Mail-Body ist einer der folgenden Nachrichten enthalten: Angehängt ist ein Attachment, das den Wurm enthält.
       your_document.pif  
       document_all.pif  
       thank_you.pif  
       your_details.pif  
       details.pif  
       document_9446.pif  
       application.pif  
       wicked_scr.scr  
       movie0045.pif
    

    Öffnet man als Empfänger das Attachment, installiert sich der Wurm in das Windows-Installationsverzeichnis (üblicherweise C:\Windows\ oder C:\Winnt\) unter dem Dateinamen winsst32.dat. Als nächstes fügt er dem Registry-key
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
    den Wert
    C:\Windows\winppr32.exe /sinc
    
    bzw.
    C:\Winnt\winppr32.exe /sinc
    
    hinzu, was dazu führt, daß der Wurm beim Neustart des Systems ebenfalls gestartet wird.

    Dann versucht der Wurm, sich über alle vorhandenen Netzfreigaben auf weitere Systeme zu verbreiten.

    Der Wurm hat ein Self-Update-Feature und versucht, sich zu bestimmten Zeiten zu einem der Masterserver zu verbinden, um von dort Dateien herunterzuladen und auszuführen. Zusätzlich öffnet der Wurm die Ports 995/udp bis 999/udp und wartet auf diesen Ports auf Datagramme, die Änderungen der Liste der Masterserver enthalten.

    Gegenmaßnahmen
    a) Entfernung des Wurmes
    Folgende Hersteller von Antivirensoftware stellen ein Werkzeug zur Entfernung des Wurmes bereit:

    b) Hostbasierte Vorsorgemaßnahmen
    Installation eines aktuellen Virenfilters. c) Netzbasierte Gegen- und Vorsorgemaßnahmen

    Aliases

    Weitere Information zu diesem Thema

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


    https://cert.uni-stuttgart.de/ticker/article.php?mid=1135