[MS/Generic] E-Mail-Wurm Sobig.F massenhaft in Umlauf
(2003-08-20 16:59:15.783364+00)
Quelle:
http://www.f-secure.com/v-descs/sobig_f.shtmlEine neue Variante des Sobig-Wurmes verbreitet sich seit Dienstag (2003-08-19) massenhaft im Netz. Nach erfolgreicher Infektion eines Systems verschickt er sich selbst in E-Mail-Nachrichten mit gefälschten Absenderadressen.
Betroffene Systeme
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows ME
- Microsoft Windows NT
- Microsoft Windows 2000
- Microsoft Windows XP
Einfallstor
- Infektion: E-Mail-Attachment
- Wurm-Update: 995/udp, 996/udp, 997/udp, 998/udp, 999/udp
Auswirkung
- Massenhaftes Versenden von E-Mail mit gefälschten Headers
- Mißbrauch des infizierten Systems als Spam-Relay
Typ der Verwundbarkeit
E-Mail-Wurm
Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Sobig.F ist eine Variante des bekannten
Nach erfolgreicher Infektion eines Rechnersystems sucht der Wurm nach E-Mail-Adressen in Dateien mit den Endungen:
.dbx .eml .hlp .htm .html .mht .wab .txtSodann verbreitet er sich durch das Versenden von E-Mail an diese Adressen, wobei die Absenderadressen gefälscht werden. In den derzeit in Umlauf befindlichen Versionen erzeugt der Wurm dabei Nachrichten mit einem der folgenden Subjects ("Betreff"-Zeilen):
Subject:
- Re: Details
- Re: Approved
- Re: Re: My details
- Re: Thank you!
- Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Thank you!
- Your details
X-MailScanner: Found to be cleanIm Mail-Body ist einer der folgenden Nachrichten enthalten:
- See the attached file for details
- Please see the attached file for details.
your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pifÖffnet man als Empfänger das Attachment, installiert sich der Wurm in das Windows-Installationsverzeichnis (üblicherweise
C:\Windows\ oder C:\Winnt\) unter dem Dateinamen winsst32.dat. Als nächstes fügt er dem Registry-key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runden Wert
C:\Windows\winppr32.exe /sincbzw.
C:\Winnt\winppr32.exe /sinchinzu, was dazu führt, daß der Wurm beim Neustart des Systems ebenfalls gestartet wird.
Dann versucht der Wurm, sich über alle vorhandenen Netzfreigaben auf weitere Systeme zu verbreiten.
Der Wurm hat ein Self-Update-Feature und versucht, sich zu bestimmten Zeiten zu einem der Masterserver zu verbinden, um von dort Dateien herunterzuladen und auszuführen. Zusätzlich öffnet der Wurm die Ports 995/udp bis 999/udp und wartet auf diesen Ports auf Datagramme, die Änderungen der Liste der Masterserver enthalten.
Gegenmaßnahmen
a) Entfernung des Wurmes
Folgende Hersteller von Antivirensoftware stellen ein Werkzeug zur Entfernung des Wurmes bereit:
Installation eines aktuellen Virenfilters.
- Die Uni Stuttgart bietet ihren Mitgliedern die Teilnahme an einer Campus-Lizenz Virenfilterprogrammes VirusScan Security Suite an.
- Um zu verhindern, daß Updates der Masterserverliste infizierte Systeme erreicht, sollten die Ports 995/udp bis 999/udp gefiltert werden. Achtung! Diese Maßnahme verhindert nicht die Infektion von Systemen und kann daher nur als begleitend angesehen werden.
Aliases
- W32.Sobig.F@mm (Symantec)
- Sobig.F (F-Secure)
- W32/Sobig.f@MM (McAfee)
- WORM SOBIG.F (Trend)
Weitere Information zu diesem Thema
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1135