Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1135

[MS/Generic] E-Mail-Wurm Sobig.F massenhaft in Umlauf
(2003-08-20 16:59:15.783364+00)

Quelle: http://www.f-secure.com/v-descs/sobig_f.shtml

Eine neue Variante des Sobig-Wurmes verbreitet sich seit Dienstag (2003-08-19) massenhaft im Netz. Nach erfolgreicher Infektion eines Systems verschickt er sich selbst in E-Mail-Nachrichten mit gefälschten Absenderadressen.

Betroffene Systeme

Einfallstor

Auswirkung

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Sobig.F ist eine Variante des bekannten Sobig.A-Wurmes, der seit Januar 2003 unterwegs war. Offenbar ist die F-Variante sehr virulent. Das RUS-CERT erreichen derzeit zahlreiche Meldungen von Sichtungen massenhaften Auftretens dieses Wurmes. Da der Wurm neben dem Absender- offenbar auch weitere Headers fälscht, sorgt der Wurm nicht nur durch die Überflutung von Briefkästen mit infiziertem Spam für Aufregung.

Nach erfolgreicher Infektion eines Rechnersystems sucht der Wurm nach E-Mail-Adressen in Dateien mit den Endungen:

  .dbx
  .eml
  .hlp  
  .htm  
  .html  
  .mht  
  .wab  
  .txt
Sodann verbreitet er sich durch das Versenden von E-Mail an diese Adressen, wobei die Absenderadressen gefälscht werden. In den derzeit in Umlauf befindlichen Versionen erzeugt der Wurm dabei Nachrichten mit einem der folgenden Subjects ("Betreff"-Zeilen):
Subject: Außerdem wird ein weiterer X-Header eingebaut, der offenbar suggerieren soll, daß die Nachricht von einem Virenfilter als nicht infiziert erkannt wurde:
   X-MailScanner: Found to be clean
Im Mail-Body ist einer der folgenden Nachrichten enthalten: Angehängt ist ein Attachment, das den Wurm enthält.
   your_document.pif  
   document_all.pif  
   thank_you.pif  
   your_details.pif  
   details.pif  
   document_9446.pif  
   application.pif  
   wicked_scr.scr  
   movie0045.pif

Öffnet man als Empfänger das Attachment, installiert sich der Wurm in das Windows-Installationsverzeichnis (üblicherweise C:\Windows\ oder C:\Winnt\) unter dem Dateinamen winsst32.dat. Als nächstes fügt er dem Registry-key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
den Wert
C:\Windows\winppr32.exe /sinc
bzw.
C:\Winnt\winppr32.exe /sinc
hinzu, was dazu führt, daß der Wurm beim Neustart des Systems ebenfalls gestartet wird.

Dann versucht der Wurm, sich über alle vorhandenen Netzfreigaben auf weitere Systeme zu verbreiten.

Der Wurm hat ein Self-Update-Feature und versucht, sich zu bestimmten Zeiten zu einem der Masterserver zu verbinden, um von dort Dateien herunterzuladen und auszuführen. Zusätzlich öffnet der Wurm die Ports 995/udp bis 999/udp und wartet auf diesen Ports auf Datagramme, die Änderungen der Liste der Masterserver enthalten.

Gegenmaßnahmen
a) Entfernung des Wurmes
Folgende Hersteller von Antivirensoftware stellen ein Werkzeug zur Entfernung des Wurmes bereit:

b) Hostbasierte Vorsorgemaßnahmen
Installation eines aktuellen Virenfilters. c) Netzbasierte Gegen- und Vorsorgemaßnahmen

Aliases

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1135