21.08.2003, 18:15
Zitat:Der Internet-Wurm Sobig.F rast wie eine Lawine durch das Internet. Verschiedene Hersteller von Virenscannern melden Rekordzahlen bei den Infektionen.
Der Erfolg ueberrascht etwas. Denn Sobig.F verbreitet sich seit dem 18. August auf traditionellem Wege - als Anhang an eine Mail. Allerdings traegt die an die Mail angehaengte Datei nicht eine .EXE-Endung - die viele Anwender davon abschrecken wuerde, auf die Datei zu klicken - sondern tarnt sich als vorgebliche .SCR oder als .PIF-Datei.
Startet ein Anwender Sobig.F durch den verhaengnisvollen Doppelklick, so durchsucht der Wurm alle Dokumente und Ordner auf dem befallenen Rechner sowie das Windows-Adressbuch nach Mailadressen und versendet sich an diese. Ausserderdem verbreitet sich der Schaedling ueber Netzwerkverbindungen.
Die Malware kann mit ihrem SMTP-Server mehrere Mails gleichzeitig verschicken und verbreitet sich deshalb um ein Vielfaches schneller als Vorgaengervarianten .
Zudem beseitigten die Virenschoepfer einige Programmierschwaechen der Vorgaengerversionen. Dadurch wird Sobig.F noch effizienter. Die Groesse des Wurms betraegt im Schnitt 74 Kilobyte, dies kann jedoch variieren.
In der Betreffzeile einer infizierten Mail steht zum Beispiel "Re: Details", im Nachrichtentext kann "Please see attached file for details" stehen. Das Attachement kann verschiedene Namen tragen, immer hat es jedoch die Endung .PIF oder .SCR.
Besonders fies: Der Wurm versucht den Empfaenger einer verseuchten Mail mit einem Eintrag im Mail-Header in Sicherheit zu wiegen: "X-MailScanner: Found to be clean" gaukelt vor, dass eine Virenscanner die Mail auf ihre Sicherheit ueberprueft habe.
Weitere Informationen zu Sobig.F finden Sie bei Sophos.
Das Mail-Sicherheits-Unternehmen Messagelabs meldet eine Million verseuchte Mails an einem Tag. Jede 17te Mail soll infiziert sein - im Vergleich dazu war im Juli 2003 durchschnittlich eine von 166 Mails befallen. Zahlreiche Mailserver sollen demnach schon in die Knie gegangen sein. Die Experten erwarten, dass Sobig.F noch ueber Wochen sein Unwesen treiben koennte.
Ich hab eben Mails abgerufen. Von 7 abgerufenen Mails waren 6 verseucht. Vorsicht ist geboten !