Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1135

[MS/Generic] E-Mail-Wurm Sobig.F massenhaft in Umlauf
(2003-08-20 16:59:15.783364+00) Druckversion

Quelle: http://www.f-secure.com/v-descs/sobig_f.shtml

Eine neue Variante des Sobig-Wurmes verbreitet sich seit Dienstag (2003-08-19) massenhaft im Netz. Nach erfolgreicher Infektion eines Systems verschickt er sich selbst in E-Mail-Nachrichten mit gefälschten Absenderadressen.

Betroffene Systeme

  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows ME
  • Microsoft Windows NT
  • Microsoft Windows 2000
  • Microsoft Windows XP

Einfallstor

  • Infektion: E-Mail-Attachment
  • Wurm-Update: 995/udp, 996/udp, 997/udp, 998/udp, 999/udp
  • Auswirkung

    • Massenhaftes Versenden von E-Mail mit gefälschten Headers
    • Mißbrauch des infizierten Systems als Spam-Relay

    Typ der Verwundbarkeit
    E-Mail-Wurm

    Gefahrenpotential
    mittel bis hoch
    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung
    Sobig.F ist eine Variante des bekannten Sobig.A-Wurmes, der seit Januar 2003 unterwegs war. Offenbar ist die F-Variante sehr virulent. Das RUS-CERT erreichen derzeit zahlreiche Meldungen von Sichtungen massenhaften Auftretens dieses Wurmes. Da der Wurm neben dem Absender- offenbar auch weitere Headers fälscht, sorgt der Wurm nicht nur durch die Überflutung von Briefkästen mit infiziertem Spam für Aufregung.

    Nach erfolgreicher Infektion eines Rechnersystems sucht der Wurm nach E-Mail-Adressen in Dateien mit den Endungen:

      .dbx
      .eml
      .hlp  
      .htm  
      .html  
      .mht  
      .wab  
      .txt
    
    Sodann verbreitet er sich durch das Versenden von E-Mail an diese Adressen, wobei die Absenderadressen gefälscht werden. In den derzeit in Umlauf befindlichen Versionen erzeugt der Wurm dabei Nachrichten mit einem der folgenden Subjects ("Betreff"-Zeilen):
    Subject:
    • Re: Details
    • Re: Approved
    • Re: Re: My details
    • Re: Thank you!
    • Re: That movie
    • Re: Wicked screensaver
    • Re: Your application
    • Thank you!
    • Your details
    Außerdem wird ein weiterer X-Header eingebaut, der offenbar suggerieren soll, daß die Nachricht von einem Virenfilter als nicht infiziert erkannt wurde:
       X-MailScanner: Found to be clean
    
    Im Mail-Body ist einer der folgenden Nachrichten enthalten:
    • See the attached file for details
    • Please see the attached file for details.
    Angehängt ist ein Attachment, das den Wurm enthält.
       your_document.pif  
       document_all.pif  
       thank_you.pif  
       your_details.pif  
       details.pif  
       document_9446.pif  
       application.pif  
       wicked_scr.scr  
       movie0045.pif
    

    Öffnet man als Empfänger das Attachment, installiert sich der Wurm in das Windows-Installationsverzeichnis (üblicherweise C:\Windows\ oder C:\Winnt\) unter dem Dateinamen winsst32.dat. Als nächstes fügt er dem Registry-key
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
    den Wert
    C:\Windows\winppr32.exe /sinc
    
    bzw.
    C:\Winnt\winppr32.exe /sinc
    
    hinzu, was dazu führt, daß der Wurm beim Neustart des Systems ebenfalls gestartet wird.

    Dann versucht der Wurm, sich über alle vorhandenen Netzfreigaben auf weitere Systeme zu verbreiten.

    Der Wurm hat ein Self-Update-Feature und versucht, sich zu bestimmten Zeiten zu einem der Masterserver zu verbinden, um von dort Dateien herunterzuladen und auszuführen. Zusätzlich öffnet der Wurm die Ports 995/udp bis 999/udp und wartet auf diesen Ports auf Datagramme, die Änderungen der Liste der Masterserver enthalten.

    Gegenmaßnahmen
    a) Entfernung des Wurmes
    Folgende Hersteller von Antivirensoftware stellen ein Werkzeug zur Entfernung des Wurmes bereit:

    b) Hostbasierte Vorsorgemaßnahmen
    Installation eines aktuellen Virenfilters. c) Netzbasierte Gegen- und Vorsorgemaßnahmen
    • Um zu verhindern, daß Updates der Masterserverliste infizierte Systeme erreicht, sollten die Ports 995/udp bis 999/udp gefiltert werden. Achtung! Diese Maßnahme verhindert nicht die Infektion von Systemen und kann daher nur als begleitend angesehen werden.

    Aliases

    • W32.Sobig.F@mm (Symantec)
    • Sobig.F (F-Secure)
    • W32/Sobig.f@MM (McAfee)
    • WORM SOBIG.F (Trend)

    Weitere Information zu diesem Thema

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

    Vorherige Meldung Weitere Meldungen... Nächste Meldung

    Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.