Die nächste Wurm-Welle rollt: Neue Sobig-Variante verbreitet sich rasant

Während noch immer verschiedene RPC-Würmer wüten und sogar versuchen, Patches gegen sich selbst einzuspielen, ist schon ein neuer Wurm unterwegs: Sobig.F, eine Variante der bekannten Sobig-Würmer, kursiert seit wenigen Stunden im Internet und verbreitet sich extrem schnell.

Laut MessageLabs hat Sobig.F bereits nach wenigen Stunden mehrere tausend Rechner infiziert; man geht davon aus, dass die Verbreitungsgeschwindigkeit noch zunehmen wird. Im Heise-Verlag sind bereits mehrere tausend Exemplare des Schädlings in der normalen E-Mail eingetroffen.

Sobig.F verbreitet sich wie seine Vorgänger über E-Mail (mit eigener SMTP-Engine) und Netzwerkfreigaben unter Windows. Im Unterschied zu den jüngsten RPC-Würmern können sich Rechner jedoch nicht automatisch infizieren, sondern es muss explizit das Attachment ausgeführt werden. Die Namen der Attachments und Betreffszeilen variieren dabei und auch an der Größe des Dateianhangs kann man den Schädling nicht erkennen, da er teilweise Müll-Daten hinten anfügt, um seine wahre Größe zu verbergen. Laut MessageLabs sei der Schädling im Durchschnitt circa 74 Kilobyte groß. Tückisch an dem Wurm ist auch, dass er wie schon bei vorherigen Varianten sowohl Absender- also auch Empfängeradressen fälscht. Besonders E-Mails mit Attachments, die von vermeintlich bekannten Adressen kommen, sind also mit Vorsicht zu genießen.

Genau wie alle Sobig-Würmer vorher hat auch die F-Variante ein Ablaufdatum: Nach Angaben von Network Associates soll sich der Wurm ab dem 10. September 2003 nicht weiter verbreiten. Mittlerweile haben fast alle Antiviren-Hersteller reagiert und stellen Signatur-Updates für die neue Sobig-Variante bereit. Auch das BSI warnt mittlerweile vor Sobig.F, weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security. (pab)