Sobig.F – so heißt jener Computerwurm, der seit Dienstag seine Runden im Web dreht und bereits zahlreiche PCs befallen hat. Auch in Österreich.

Verbreitet sich via E-Mail sowie Netzwerkfreigaben unter Windows

Der neue Wurm ist eine von vielen Sobig-Varianten, die seit rund einem halben Jahr im Internet kursieren. Er verbreitet sich via E-Mail sowie Netzwerkfreigaben unter Windows und ist mit verschiedenen Betreffszeilen und Attachments unterwegs.

Wird das Attachment ausgeführt, wird der Wurm aktiv und schreibt sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt er Einträge in der Registry ab.

Gefälschte Absender

Wie seine Vorgänger durchsucht Sobig.F infizierte PCs nach E-Mailadressen, versendet sich an diese mit seiner integrierten SMTP-Engine und fälscht der Wurm Absender- und Empfängeradressen. Daher sollten auch E-Mails von vermeintlich bekannten oder vertrauenswürdigen Absendern geprüft werden.

Infizierte E-Mails könnten folgendes Aussehen haben:

Betreffzeile:

"Re: That movie"
"Re: Wicked screensaver"
"Re: Your application"
"Re: Approved"
"Re: Re: My details"
"Re: Details"
"Your details"
"Thank you!"
"Re: Thank you!"

Body:

Please see the attached file for details. bzw. See the attached file for details

Dateianhang:

"movie0045.pif"
"wicked_scr.scr"
"application.pif"
"document_9446.pif"
"details.pif"
"your_details.pif"
"thank_you.pif"
"document_all.pif"
"your_document.pif"

Die Antivirenhersteller Symantec und Ikarus haben auf ihren Websites haben Infos über Sobif.F veröffentlicht und halten erste Hilfe bereit. (red)