Sobig-Wurm verbreitet sich massiv

Der am 9. Januer entdeckte Wurm Sobig verbreitet sich seit einigen Tagen rasant im Internet. Der Schädling kommt als E-Mail ins Haus, trägt die Betreffzeile "Re: Sample", "Re: Movies", "Re: Document" oder "Re: Here is that sample" und kommt vom Absender (From:) big@boss.com. Als Dateianhang enthält der Wurm eine .pif-Datei (Windows-Verknüpfung) und infiziert bei Ausführung den lokalen Rechner sowie andere Systeme über Netzlaufwerke. Der Schädling bringt eine eigene SMTP-Engine zum Weiterversenden mit und durchsucht das System nach verwertbaren E-Mail-Adressen.

Bei Infektion des Rechners zeigt Sobig ein pornografisches Bild an und kopiert sich selbst unter dem Namen Winmgm32.exe in das Windows-Verzeichnis. Er legt dabei zusätzlich zwei Registry-Keys an, um sich beim Booten von Windows automatisch zu starten. Weiterhin versucht der Wurm die Hintertür Backdoor-AOT aus dem Internet zu laden und zu installieren. Aktuelle Virensoftware erkennt den Schädling und seine Komponenten bereits seit längerem und sollte ihn somit abfangen können.

Anzumerken ist noch, dass der Schädling auf vielen Mail-Clients nicht vollständig eintrifft: Die Dateiendung des Attachments heißt hier .pi statt .pif, was das Ausführen durch Doppelklick scheitern lässt. Das liegt daran, dass der Name des Attachments im Header ohne Anführungszeichen angegeben wurde -- einige MTA und Mail-Clients zerstückeln so das Attachment. Trotzdem verliert der Anhang nicht seine Wirkung, ein Umbenennen des Attachments würde das Ausführen wieder ermöglichen.

E-Mails von dem oben genannten Absender sollten also umgehend gelöscht werden. Nähere Informationen zum Schutz vor Viren und Würmern, Links zu Herstellern von Antiviren-Software und zu kostenlosen Schutzprogrammen finden sich auf den Antiviren-Seiten von c't. (pab)