MailWeb.at | Virus-Information: Sobig.F (Detail)

zurück zur Übersicht

Sobig.F
Virus-Information

aktualisiert
13.09.2003-06:22

Name:

Sobig.F

Alias in V-Check:

W32/Sobig-F

Datum:

20.08.2003

Typ:

eMail-Wurm

Betrifft:

alle gängigen Windows-Betriebssysteme

Auswirkung:

Massenmails, Versand über eigene SMTP-Engine (ist nicht auf Outlook angewiesen)
Behindert durch massives Auftreten den E-Mail-Verkehr und verlangsamt die Zustellung.

• 22.08.2003:
Durch zig-tausende(!) Viren-Mails sind die Viren-Scan-Server absolut am Limit. Außerdem werden Ressourcen durch Antworten - oft an nicht existierende oder gefälscht Absender und Infor-Mail an den Empfänger verbraucht. Dann kommen solche Mails erneut als "unzustellbar" herein.
Conclusio: 1 Virus-Mail kann einen "Verkehr" von 4 auslösen.
Folge: Zustelldauer für Mails im Bereich von Stunden!
(Anm.: Aber besser länger warten, als mit Viren infiziert zu werden.)

• 23.08.2003:
Sobig.F kann beliebige Dateien auf den infizierten Computer herunterladen und sie dort ausführen. Der Programmierer des Wurms hat diese Funktion dazu verwendet, vertrauliche Systemdaten zu stehlen und auf infizierten Computern Spam-Relay-Server einzurichten.
Der Wurm kann sich über diese Funktion außerdem selbst aktualisieren. Unter bestimmten Bedingungen versucht Sobig.F, einen Server aus der Liste der Master-Server zu kontaktieren, die der Programmierer des Wurms steuert.
Sobig.F versucht unter den folgenden Bedingungen, die Datei herunterzuladen:
- Der Wochentag muss ein Freitag oder Sonntag sein (UTC-Zeit).
- Die Uhrzeit muss zwischen 19:00 Uhr und 22:00 Uhr liegen (UTC-Zeit).

• 13.09.2003:
Sobig.F hat sich zwar am 10. September 2003 deaktiviert - das bezieht sich allerdings lediglich auf die Massen-Mail-Routine, die Netzwerkverbreitungsaktivität und das Sammeln von E-Mail-Adressen.
Ein mit Sobig.F infizierter Computer versucht auch nach dem Deaktivierungsdatum weiterhin, während des Auslösungszeitraums (siehe 23.08.2003), Aktualisierungen von der entsprechenden Liste mit Master-Servern herunterzuladen. Vorherige Varianten von Sobig haben ein ähnliches Verhalten gezeigt.

Info:

Der Wurm "Sobig.F", der sich seit gestern explosionsartig vermehrt, behindert derzeit weltweit den E-Mail-Verkehr - angeblich wurde er schon in 135 Ländern gesichtet.
Zwar kam es auch dank einer fehlenden bösartigen Schadensroutine fast nirgendwo zu echt katastrophalen Ausfällen, aber Mailserver und Virenscanner arbeiten teilweise am Rande der Überlastung.
Die Variante "F" verbreitet sich wie gehabt mittels eines eigenen SMTP-Clients via E-Mail. Die E-Mail-Adressen sucht sich der Wurm auf betroffenen Rechnern in Dateien mit den Endungen .DBX, .HLP, .MHT, .WAB, und .HTML. Ist ein Rechner infiziert, verbreitet sich der Wurm an alle vorgefundenen E-Mail-Adressen.
Die Absenderadresse wird ebenfalls aus den gefundenen eMailadressen entnommen und somit wird eine Verfolgung des tatsächlichen Absenders erschwert. Dh. die Absenderadresse ist in der Regel gefälscht!

Der Wurm hat ein "Ablaufdatum" = 10.Sept.2003
Der Wurm wird am 10. September 2003 deaktiviert. Der letzte Tag, an dem sich der Wurm verbreitet, ist also der 9. September 2003.

Mögliche Betreffs (nicht vollständig):
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Möglicher Text im Mail (nicht vollständig):
See the attached file for details
Please see the attached file for details.

Der Wurm wird durch Öffnen des Attachments gestartet.

V-Check Info: Der Header-Eintrag: "X-MailScanner: Found to be clean" stammt nicht von V-Check, er ist gefälscht!

• 23.08.2003:
In der Vergangenheit hatten Sobig-Viren div. Programme heruntergeladen die Passwörter ausspionierten, Systeminformationen verschickten oder die betreffenden Rechner für das anonyme Verschicken von Spam-Mails vorbereitet. In der aktuellen Variante könnte das Spam-Feature weiter verfeinert worden sein.

• 23.08.2003 (2):
Sobig benützt zur Verbreitung Mailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse. Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Links:

Symantec (Norton-AntiVirus)

Entfernung:

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:

1.	PC vom Netzwerk bzw. Internet trennen! (Kabel abziehen)
2.	Löschen der Registryeinträge HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run: "TrayX" = "%Windir%\winppr32.exe /sinc" HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run: "TrayX" = "%Windir%\winppr32.exe /sinc"
3.	Neustart des PC (wenn möglich im angesicherten Modus)
4.	löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis
5.	komplette Systemprüfung mit AV-Software alle infizierten Dateien löschen

Entfernungs-Tools:

	Ikarus-Software (EXE-Datei)
	Symantec Norton-AntiVirus (Link)

zurück zur Übersicht

MailWeb.at | Virus-Information: Sobig.F (Detail)Detail-Inhalte:
index.php
index.htm
index.html
Willkommen bei eMail-Services (powered by WebDienst.at)
eMail-Adresse mit Anti-Virus und Anti-Spam
Anti-Spam-Filter gegen unerwünschte Werbemails
Online-Virenschutz bei eMailDienst vernichtet mit Viren infizierte eMails
ihr Domainname - Domain registrieren
schneller Webserver (Hosting)
Domainnamen, Webserver, Web-Design, Web-Promotion, eMail, Virenschutz, Spam-Filter
Begriffe / F.A.Q.
Ihre persönliche Frage / Nachricht (Kontakt)
Bestellen Sie Ihre eigenen eMail-Adresse
TellIt a Friend
Virus-Warnungen
IKARUS myMailWall
emaildienst.at
mailweb.at
emailbox.at
Zur korrekten Ansicht dieser Seite(n)
muß Java-Script aktiviert sein. • STICHWORTE:

Qualitätshosting, Statistik, Web-Statistik, Zugriffe, Erfolg, Domainname, wenige Domainnamen, Verweise, Seitengestaltung, neue Technologien, Flash, Intros, Ladezeiten, Suchmaschinen, suma, seo, Surfer, Angebote, Registrierung, Kataloge, zuwenige Links, falsche Suchbegriffe, Domain- und Suchmaschinen-Marketing, WebPromotion-Service, Kunden, Kaufwahrscheinlichkeit, Platzierungen Ihrer Seiten, Suchergebnisse, Werbeform, click to buy-Verhältnis, Wahrscheinlichkeit, fundierte Analyse, Suchbegriffe, perfekt zu Ihren Produkten, weit vorne, optimales Ergebnis, Werbebanner, promoten, Investition
Domain - Domains - Domainname - Domainnamen:
Land - Länder - Staat - Staaten - Countries: weltweit, global, europa, österreich, österr., deutschland
hier domainname reservieren, .eu, neue Top Level Domain .eu, design, dienst, domain, domainname, domainnamen, domainsuche, domains, domaingebühren, domainhandel, domainmarkt, domainkauf, domainnamensuche, domainnamenvergabe, domainnames, domain-name, domainportal, domain-registrierung, domaines, domain-service, hosting, ihrefirma, internet, internetpräsentation, mailserver, management, mydomain, nic, power, provider, providerwechsel, providing, register, registration, registrieren, registrierung, registry, seiten, service, sicherheit, subdomain, submit, success, support, topdomain, topleveldomain, url, verzeichnis, vorregistrieren, vormerken, web, webdienst.biz, dial, webmarketing, webseiten, Webserver, werbung, wunschdomain, expired, abgelaufen, catch, grab, buy domains, buy, transfer domain names, kk, network, solutions, catcher, gelöschte domains, pending deleted domains, deleteddomains, freie, freigeworden, domainregistrierung, domainregistrierungen, reseller, dns, check, domaincheck, webspace, php, mysql, asp, live, video, chat, web-hosting, housing, dedicated, dediziert, rack, rackspace, nic, registrar, registration, registrierung, hit, traffic, domains für reseller, günstige domainnamen, rasche und kompetente registrierung, verschiedene tlds, domainpreise, domainabfrage, domaincheck, domainhosting, webhosting, domain, php, cgi, mysql, apache, Registrar, PHP, PHP4, SQL, SSL, Statistiken, request, heute registrieren, schneller server, individueller webspace, ihr domainname wird rasch registriert, Internet Projekte, gefunden, besucht, Aufträge, Marketing
Weitere Projekte (zum Thema):WebDienst.at | Internet-Service-Provider, Domain, Domainnamen, Webserver, ConsultingWebDienst.infoWebDienst.bizDomains in allen LändernVisions at InternetWeb4You.at - Domainnamen u. Webserver