Kategorie

A B C D E
F G H I J
K L M N O
P Q R S T
U V W X Y
Z 0      

sobig f

sa sb sc sd se sf sg sh si sj sk sl sm
sn so sp sq sr ss st su sv sw sx sy sz

Sobig.F

Sobig.F oder exakt W32.Sobig.F@mm ist ein am 18. August 2003 entdecktes Computervirus. Es wurde vermutlich über eine pornographische Newsgroup freigesetzt und ist der sechste aus einer Serie von immer ausgeklügelteren Internet-Würmern, die seit Januar 2003 ins Netz gebracht worden sind. W32.Sobig.F@mm wird als netzwerkaktiver Massen-Mail-Wurm charakterisiert, der sich an alle E-Mail-Adressen sendet, die er in Dateien mit den folgenden Erweiterungen findet: .dbx, .eml, .hlp, .htm, .html, .mht, .wab, .txt . Der eingenistete Wurm öffnet auf den befallenen Rechnern Ports zum Internet, installiert einen eigenen Mailserver und sendet parallel unablässig infizierte E-Mails an beliebige Empfänger.

Wenn das Virus Sobig.F aktiviert ist, kopiert es sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im selben Verzeichnis ab.

Folgende Einträge in der Registry werden durchgeführt:

  • HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
  • "TrayX" = C:\\WINNT\\WINPPR32.EXE /sinc
  • HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
  • "TrayX" = C:\\WINNT\\WINPPR32.EXE /sinc

Das Virus ist darauf programmiert, bis 10. September jeden Freitag und Sonntag Kontakt zu bestimmten Rechnern aufzunehmen, um von dort - wie es scheint - weitere Instruktionen zu erhalten. Dabei wird ein UDP-Paket an Port 8998 eines Remote-Servers gesandt. Diese angezielten Rechner wurden aufgrund der ermittelten IP-Adressen inzwischen bereits vom Netz genommmen. Aufgrund der seit dem "Verfallsdatum" praktisch nicht mehr auftretenden Neuinfektionen mit Sobig.F wurde das Virus beispielsweise von Symantec aus der Gefahrenstufe 4 in die Kategorie 2 verschoben.

Potentiell von Sobig.F betroffen sind alle Microsoft-Betriebssystemversionen von Windows 95 bis zu Windows XP.

Weblinks

Impressum

Datenschutzerklärung