Wurm-Welle durch Sobig.F beeinträchtigt Mailverkehr
Kurz nach W32.Lovsan überschwemmt der neue Virus Sobig.F die Netze.
Der am Dienstag aufgetauchte Virus Sobig.F verbreite sich lange Zeit nahezu ungebremst im Internet. Die Virenscanner auf den Mail-Servern ächzen unter der Last der großen Zahl infizierter Mails. Allein im Heise-Verlag sind am ersten Tag der Verbreitung 13.000 verseuchte Mails, die von außen auf dem Mail-Server eintrafen, in die Quarantäne verschoben worden. Zusätzlich werden die Anwender in vielen Firmen durch Mails belastet, die darauf hinweisen, dass die elektronische Post nicht zugestellt werden konnte, da sie infiziert oder der Empfänger nicht bekannt sei.
In der von Messagelabs bereitgestellten Grafik zur Anzeige der derzeit aktiven Viren war das Skalenende über die infizierten Mails, die in den vergangenen 24 Stunden über die Virenscanner des Anbieters liefen, ständig nach oben verschoben worden. Am Dienstag lag es bei 40.000, am Mittwochmorgen bei 300.000, zwischenzeitlich ging der Virus an die Grenze zu 350.000. Berichte auf der Sicherheits-Mailingliste Full-Disclosure zufolge konnte sich Sobig.F im Vergleich zu seinen Vorganger diesmal so explosionsartig vermehren, da der eingebaute SMTP-Server zum Versenden von Mails Multi-Threading unterstützt. Der Virus kann also mehrere Verbindungen parallel öffnen.
Weitere Hinweise zu Viren und Würmern, zum Schutz vor den Schädlingen und Links zu den Herstellern von Antiviren-Software finden Sie auf den Antiviren-Seiten von heise Security. Auf den Seiten der Antivirenhersteller gibt es bereits Tools, wie Stinger von NAI zum Entfernen des Virus.
Der Virus verbreitet sich als Dateianlage in Mails, die zum Beispiel folgende Betreffzeilen haben können:
"Re: Thank you!", "Re: Your Application", "Re: Approved", "Your details", "Thank you!", "Re: Your application", "Re: Wicked screensaver", "Re: That movie" . Anhänge mit verdächtigen Endungen wie *.pif und *.scr, dürfen nicht geöffnet werden, etwa mit Doppelklick. Dies gilt auch wenn der Absender bekannt ist und das Attachment nicht explizit angefordert wurde, da Sobig.F die Absenderadressen fälscht.
Siehe dazu auch: (dab)
