Archivlink: javarea.de Forum > News > GMX Viren-Report (W32/Sobig-F)
Vollständigen Link anzeigen: javarea.de Forum > News > GMX Viren-Report (W32/Sobig-F)
Pages: [1]
| geschrieben von René am 23.08.2003 - 06:30 |
Das macht bei mir z.Z täglich 1000 Stück die als Spam gefiltert werden.
| Zitat | | | GMX Viren-Report
==================================================
Während in Teilen der Republik noch immer schläfrige
Urlaubsstimmung vorherrscht, hat einer in diesen Tagen richtig
viel zu tun: Mehr als 420.000 mit dem Sobig.F-Wurm infizierte
e-mails hat der GMX Virenschutz innerhalb von drei Tagen
gefiltert. Und Besserung ist keineswegs in Sicht, wie die GMX
interne Virenschutz-Statistik verrät. Seit Dienstag ist die Rate
infizierter e-mails vom vorherigen Durchschnittswert von einem
Prozent auf mittlerweile 16% angestiegen!
In seiner rasanten Verbreitung übertrifft "Sobig.F" nach
Einschätzung von Experten bislang bekannte Schädlinge um das
Zehnfache. Der Wurm, der sich per e-mail verbreitet, soll
bereits Hunderttausende Windows-Rechner befallen haben. Das
Moskauer IT- Sicherheitsunternehmen Kaspersky Lab sprach sogar
von der "größten Epidemie" in den vergangenen eineinhalb Jahren.
"Hunderttausende Sobig-F-Kopien geistern nun durch das Internet,
so dass bei einigen Unternehmen das E-Mail-System bereits
kollabiert ist", sagte Gernot Hacker, Technik-Experte beim
Münchner Anti-Virensoftware-Hersteller Sophos. Wegen der hohen
Verbreitungsgeschwindigkeit vermutet das Unternehmen, dass der
Wurm so genannte Spam-Technologie zum Massenversand eingesetzt
hat. Sein "Erfolg" beruht nach Angaben des Karlsruher
IT-Experten Christoph Fischer auf zwei neuartigen Eigenschaften:
Zum einen durchsucht "Sobig.F" nicht nur das Adressbuch des
Empfängers, sondern gleich auch dessen gesamte Festplatte - und
zwar "gründlichst", wie Fischer betont. Zum anderen kann sich
der Wurm Dank einer "multi-threading"-Technik hundertfach
gleichzeitig statt hintereinander versenden. Fischer spricht von
Hinweisen, dass "Sobig.F" ein Test aus der Spammer-Ecke ist.
Denn die Versender von Werbemails im Internet arbeiteten an
Techniken, um ihre unerwünschten Botschaften mittels Würmer zu
verbreiten. Dann sind die Täter nicht mehr ermittelbar, erklärte
Fischer.
Sobig.F Kurzprofil (Quelle: Sophos)
W32/Sobig-F ist ein Wurm, der sich via E-Mail und über
Netzwerkfreigaben verbreitet. Der Wurm versendet sich unter
Verwendung seiner eigenen SMTP-Engine als Attachment an
e-mail-Adressen, die er in verschiedenen Dateien auf dem
Computer des Opfers findet. Wenn er sich per e-mail versendet,
fälscht er die Adresse des Senders, so dass nur schwer ermittelt
werden kann, wessen Computer tatsächlich infiziert ist.
Die e-mail hat folgendes Format:
Betreffzeile: Ausgewählt aus:
Re: That movie / Re: Wicked screensaver / Re: Your application /
Re: Approved / Re: Re: My details / Re: Details / Your details /
Thank you!
Text: Ausgewählt aus:
Please see the attached file for details. / See the attached
file for details
Attachment: Ausgewählt aus:
movie0045.pif / wicked_scr.scr / application.pif /
document_9446.pif / details.pif / your_details.pif /
thank_you.pif / document_all.pif / your_document.pif
W32/Sobig-F versucht außerdem, sich zu verbreiten, indem er sich
auf Windows-Netzwerkfreigaben kopiert und verwendet das Network
Time Protocol eines von verschiedenen Servern, um das aktuelle
Datum und die Uhrzeit festzustellen. Wenn das Datum der 10.
September 2003 oder später ist, deaktiviert sich der Wurm.
GMX Virenschutz
================================================== |
|
| geschrieben von Danny am 23.08.2003 - 11:11 |
dazu noch der artikel auf der sophos seite:
22. August 2003
Sobig-F hat Überraschung parat - Sophos warnt vor möglichem "Trojaner"-Download
Zeitbombe
Sophos warnt davor, dass der Massmailing-Wurm W32/Sobig-F, der in dieser Woche zahlreiche Computeranwender befallen hat, versuchen könnte, heute zwischen 20.00 und 23.00 Uhr BST ein Trojanisches Pferd herunterzuladen.
Der Wurm wurde so programmiert, dass er freitags und sonntags zwischen 19.00 und 22.00 Uhr GMT infizierte PCs direkt zu einem Server umleitet, der von dem Virenautor kontrolliert wird und von dem der Wurm ein Schadprogramm herunterladen könnte. Derzeit ist nicht bekannt, was das heruntergeladene Material tun wird, aber es wäre möglich, dass eine weitere Viren- oder Spam-Attacke gestartet wird, sensible Daten gesammelt werden oder Dateien von dem infizierten Computer oder Netzwerk gelöscht werden.
"Bisher war der wesentliche Effekt von Sobig-F, dass er das Internet durch die schiere Flut an E-Mails, die er erzeugt hat, verlangsamt hat", sagt Gernot Hacker, Senior Technical Consultant bei Sophos. "Um 20.00 Uhr heute Abend werden sich die meisten Mitarbeiter von Unternehmen bereits im Wochenende befinden, aber alle infizierten Computer, die dann noch eingeschaltet sind, können zu regelrechten Zombies werden, wenn der Virenautor bestimmen kann, was sie tun. Wenn der Autor von Sobig den Trojaner erfolgreich auf infizierten PCs installieren kann, können sich die Anwender auf einen Schock Anfang nächster Woche gefasst machen. Unsere Empfehlungen sind ganz einfach folgende: Stellen Sie sicher, dass Ihre Antiviren-Software aktuell ist, führen Sie eine Virenüberprüfung durch, um festzustellen, ob der Computer infiziert ist, desinfizieren Sie ihn, wenn notwendig und vergewissern Sie sich, dass die Firewall des Computers korrekt konfiguriert ist."
"Was genau der Wurm herunterlädt, bleibt bis heute abend unbekannt - es könnte eine beleidigende aber weitestgehend harmlose Meldung anzeigen oder eine bösartige Attacke starten. Die Zeit des Downloads trifft mit den Nachmittagsstunden für US-Unternehmen zusammen. Anwender sollten also vorsichtig sein und keinen unerlaubten Code auf ihren Computer ausführen. Am Montag beginnt im Fernen Osten und in Australien gerade der Arbeitstag, wenn der Wurm zum zweiten Mal zum Download des unbekannten Codes ansetzt," fährt Gernot Hacker fort.
Sophos weist darauf hin, dass der Download verhindert werden kann, wenn Firewalls so konfiguriert werden, dass ausgehende Verbindungen mit UDP-Port 8998 abgeblockt werden. Zusätzlich sollte die Antiviren-Software aktualisiert werden und infizierte PCs desinfiziert werden.
Sophos hat Informationen über die Desinfektion von Computern herausgegeben und darüber, wie ein Download des Trojaners verhindert werden kann.
http://www.sophos.de/virusinfo/arti....extra.html |
|