Sobig.F

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Sobig.F (auch W32.Sobig.F@mm genannt) ist ein am 18. August 2003 entdeckter Computerwurm, der sich auf Computern mit dem Betriebssystem Microsoft Windows verbreitete.

Er wurde vermutlich über eine pornografische Newsgroup freigesetzt und ist der sechste aus einer Serie von immer ausgeklügelteren Internet-Würmern, die seit Januar 2003 ins Netz gebracht worden sind. W32.Sobig.F@mm wird als netzwerkaktiver Massen-Mail-Wurm charakterisiert, der sich an alle E-Mail-Adressen sendet, die er in Dateien mit den Erweiterungen .dbx, .eml, .hlp, .htm, .html, .mht, .wab oder .txt findet. Der eingenistete Wurm öffnet auf den befallenen Rechnern Ports zum Internet, installiert einen eigenen Mailserver und sendet parallel unablässig infizierte E-Mails an beliebige Empfänger.

Wenn der Wurm Sobig.F aktiviert ist, kopiert er sich in das Windows-Verzeichnis mit dem Namen WINPPR32.EXE und legt eine Konfigurationsdatei mit dem Namen WINSTT32.DAT im selben Verzeichnis ab.

Folgende Einträge in der Registry werden durchgeführt:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

Der Wurm ist darauf programmiert, bis zum 10. September 2003 jeden Freitag und Sonntag Kontakt zu bestimmten Rechnern aufzunehmen, um von dort – wie es scheint – weitere Instruktionen zu erhalten. Dabei wird ein UDP-Paket an Port 8998 eines Remote-Servers gesandt. Diese angezielten Rechner wurden aufgrund der ermittelten IP-Adressen inzwischen bereits vom Netz genommen. Aufgrund der seit dem „Verfallsdatum“ praktisch nicht mehr auftretenden Neuinfektionen mit Sobig.F wurde der Wurm beispielsweise von Symantec aus der Gefahrenstufe 4 in die Kategorie 2 verschoben.

Von Sobig.F betroffen sind potenziell alle Microsoft-Betriebssystemversionen von Windows 95 bis Windows XP.

Weblinks[Bearbeiten]