News 21.08.2003, 12:30 Uhr

W32/Sobig (inkl. Varianten)

Bei W32/Sobig handelt es sich um einen weiteren Wurm, der sich via Mail und Netzwerkfreigaben verbreitet. Mittlerweile sind mehrere Varianten bekannt.
Die Mail, in welcher der Sobig-Wurm eintrifft, hat in den ersten bekannten Varianten folgende Merkmale:
Absender: big@boss.com
Update vom 2. Juni 2003: Die Variante "C" dieses Wurms verwendet verschiedene Absender-Adressen. So könnte eine solche Mail aussehen, als sei sie von einem Ihrer Bekannten absichtlich an Sie verschickt worden.
Eine dieser Betreffzeilen:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies
Einer diesen Beilagennamen:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif
Um im Mailtext steht bloss: Attached file
Ist der Empfänger unvorsichtig genug, die Beilage zu öffnen, verschickt sich der Wurm an Mail-Adressen, die er aus Dateien mit den Endungen WAB, DBX, HTM, HTML, EML und TXT ausliest. Zudem versucht er aus dem Internet weitere Dateien (z.B. ein Backdoor-Programm) herunter zu laden. Allerdings ist davon auszugehen, dass die Seiten inzwischen gesperrt worden sind.
Der Wurm legt eine Kopie von sich mit Namen winmgm32.exe im Windows-Systemordner ab. Diese Datei trägt er in der Windows Registry ein, und zwar in mindestens einem dieser zwei Zweige:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Der Eintrag trägt den Namen "WindowsMGM" und verweist auf die Datei winmgm32.exe.
Für die Ausbreitung im lokalen Netzwerk kopiert sich der Wurm in den Autostart-Ordner freigegebener Systemlaufwerke. Auf englischen Systemen sind dies diese Ordner:
C:\Windows\All Users\Start Menu\Programs\StartUp
oder
Documents and Settings\All Users\Start Menu\Programs\Startup
Es ist unbekannt, ob sich der Sobig-Wurm auch auf deutschsprachigen Windows-Installationen erfolgreich in die entsprechenden Ordner kopieren kann. Diese heissen nämlich anders:
C:\Windows\All Users\Startmenü\Programme\Autostart
oder
Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Auf jeden Fall ist es sicherer, in lokalen Netzwerken prinzipiell keine Systemlaufwerke freizugeben.
Um den Wurm aus einem System zu entfernen, starten Sie den Computer im abgesicherten Modus. Führen Sie via Start/Ausführen den Registry-Editor (REGEDIT.EXE) aus und entfernen Sie den Eintrag "WindowsMGM" aus diesen Registry-Zweigen (falls vorhanden):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Löschen Sie aus dem Windows-Ordner die Datei winmgm32.exe. Der Wurm legt unter gewissen Umständen noch zwei weitere Dateien ab, mit Namen dwn.dat und sntmls.dat. Am besten spüren Sie diese zwei Dateien über die Such-Funktion von Windows auf und entfernen diese ebenfalls.
Diese Informationen stammen von Antivirus-Herstellern wie F-Secure [1], NAI (McAfee) [2] und Symantec [3].
Update vom 2. Juni 2003: F-Secure hat auf der untenstehenden Sobig-Informations-Seite [4] ein Beseitigungsprogramm veröffentlicht. Lassen Sie sich hierbei nicht verwirren, dass dort auch der Palyh-Wurm erwähnt wird, denn bei Palyh handelt es sich um eine Art Variante von Sobig.
VARIANTE W32/Sobig.E, Update vom 7. Juli 2003:
Der Urheber des Sobig-Wurms hat sich eine Strategie einfallen lassen, die einem "Abonnement" nicht unähnlich ist. Er hat in seinen Schädling ein Verfallsdatum eingebaut und programmiert fast pünktlich auf dieses Datum hin Nachfolgewürmer. Zum Beispiel die Variante B des Wurms war so programmiert, sich ab dem 31. Mai 2003 nicht mehr zu verbreiten. Just am selben Tag wurde die Variante C in freier Wildbahn gesichtet und zwar mit dem Ablaufdatum des 8. Juni. Nun raten Sie mal, was keine 10 Tage später mit seiner Verbreitung anfing? Natürlich die vierte Ausgabe des Sobig-Wurms (Variante D, Verfall 2. Juli). So ist es kein Wunder, dass Ende Juni Sobig.E auftauchte, diesmal mit Verfallsdatum 14. Juli 2003.
Der Absender einer Sobig-Mail ist gefälscht, die Betreffzeilen und Mailtexte unterscheiden sich. Die Beilage trägt einen von fünf verschiedenen Namen:
Application.zip (enthält eine Datei namens Application.pif)
Document.zip (enthält eine Datei namens Document.pif)
Movie.zip (enthält eine Datei namens Movie.pif)
Screensaver.zip (enthält eine Datei namens Sky.world.scr)
Your_details.zip (enthält eine Datei namens Details.pif)
Auch Sobig.E verbreitet sich über ungeschützte Netzwerkfreigaben und verändert die Windows Registry:
Name des betroffenen Registry-Zweiges:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Name des Eintrags: "SSK Service"
Wert des Eintrags: "(Windows-Ordner)\winssk32.exe"
Name des betroffenen Registry-Zweiges:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name des Eintrags: "SSK Service"
Wert des Eintrags: "(Windows-Ordner)\winssk32.exe"
Sowohl F-Secure [5] als auch Symantec [6] bieten auch für diese neue Sobig-Variante ein Beseitigungsprogramm an.
VARIANTE W32/Sobig.F, Update vom 21. August 2003:
Auch die neuste Version des Wurms besitzt wieder ein Verfallsdatum, diesmal ist es der 10. September 2003.
Als Absender werden auf dem Computer gefundene Mailadressen verwendet. Der Betreff des Mails variiert. Sobig.F verwendet folgende Namen für Attachements:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Sobig.F sendet Mails an alle Adressen, die er findet. Ausserdem versucht er sich über Netzwerkfreigaben zu verbreiten, was er laut Symantec wegen Fehlern im Programmcode jedoch nicht schafft. Er kann vom Autor zudem dazu benutzt werden, Trojaner aus dem Internet zu laden und zu installieren. Auch diese Sobig-Version hinterlässt Spuren in der Registry:
Registry-Zweig:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Eintrag: "TrayX" = "%Windir%\winppr32.exe /sinc"
Sowohl F-Secure [7] als auch Symantec [8] bieten für diese Sobig-Variante ein Beseitigungsprogramm an.



Kommentare
Es sind keine Kommentare vorhanden.