CERT-Bund -- Warn- und Informationsdienst
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/008 vom 19.08.2003
Name:
W32.Sobig.F@mm
Alias:
Sobig.F [F-Secure]
W32/Sobig.F@MM [McAfee]
WORM_SOBIG.F [TrendMicro]
Art:
Wurm
Groesse des Anhangs:
72.000 (mit TELock gepackt)
Betriebssystem / Software:
Microsoft Windows
Art der Verbreitung:
Massenmailing
Verbreitungsgrad:
hoch
Risiko bei Aktivierung:
mittel
Schadensfunktion:
Massenmailing (Absender gefaelscht!)
Trojanisches Pferd, das Rechner als
SPAM-Relay-Server nutzt
Entfernung:
aktuelle Definitionen (ab 19.08.2003)
Spezielle Entfernung:
Tool
Bekannt seit:
19.08.2003
Beschreibung:
W32.Sobig.F@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen
SMTP-Maschine an alle Adressen sendet, die er in Dateien mit der
Endung:
.wab
.dbx
.htm
.html
.eml
.txt
.hlp
.mht
findet.
Bei der Infektion kopiert er sich als Datei WinPPR32.EXE in das
Windows-Verzeichnis und sorgt mit den Registrierungsschluesseln:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
TrayX = "%Windir%\WinPPR32.EXE /sinc"
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
TrayX = "%Windir%\WinPPR32.EXE /sinc"
dafuer, dass er beim Rechnerstart aktiviert wird.
E-Mail-Verbreitung
Von:
admin@internet.com oder existierenden E-Mail-Adressen, die auf einem
infizierten Computer gefunden wurden (Achtung, diese Absender-Adressen
sind gefaelscht)!
Betreff:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
Nachrichtentext:
See the attached file for details
Please see the attached zip file for details.
Anhang:.
Die angehaengte Datei hat einen der folgenden Namen.
application.zip
application.pif
details.zip
details.pif
document_9446.zip
document_9446.pif
document_all.zip
document_all.pif
movie0045.zip
movie0045.pif
thank_you.zip
thank_you.pif
your_details.zip
your_details.pif
your_document.zip
your_document.pif
wicked_scr.zip
wicked_scr.scr
Der Wurm laedt aus dem Internet Dateien, die beim Ausfuehren dafuer
genutzt werden, den infizierten Rechner in einen SPAM-Relay-Server
umzuwandeln.
Administratoren wird empfohlen die folgenden Ports zu sperren
UDP 99x (hereinkommend)
UDP 8998 (herausgehend)
W32.Sobig.F@mm verbreitet sich nur bis zum 09.09.2003. Nach diesem
Zeitpunkt deaktiviert er sich von selbst.
Eine Verbreitung nach diesem Zeitpunkt ist moeglich, wenn auf dem
infizierten Rechner die Systemzeit falsch eingestellt ist!
Entfernungs-Programm
Von F-Secure wird ein spezielles Entfernungs-Programm unter
fuer W32.Sobig.F@mm
zum kostenlosen Download bereitgestellt.
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode
enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch
abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen
Absender geschickt und nicht von einem Virus verbreitet wird.
Fragen richten Sie bitte an .
Virenmeldungen koennen Sie an senden.
Mit freundlichen Gruessen
Ihr Team CERT-Bund