Sobig.E: Wurm trickst mit ZIP-Archiv

Die neueste Variante des Sobig-Massmailer versucht, Anwender und Scanprogramme auszutricksen, indem sie sich als ZIP-Archiv versendet. Die Rechnung scheint aufzugehen, der Wurm verbreitet sich seit gestern rapide.

Bei Sobig.E handelt es sich offenbar um eine Spielart des Sobig.C-Wurms. Die wichtigste Neuerung: Der Schad-Code hängt als ZIP-Archiv an, derzeit in den Varianten Movie.zip, screensaver.zip, document.zip, application.zip und Your_details.zip. In diesen findet sich der Wurm als ausführbare Datei des Typs .PIF oder .SCR.

Denkste: Beim Anhang der Mail handelt es sich nicht um ein harmloses Archiv, sondern um den Sobig.E-Wurm. (Bild: Trend Micro)

Offenbar wollte der Autor des Wurms mit diesem Trick serverbasierte Virenscanner und Anwender dazu verleiten, das Attachment als harmloses Archiv passieren zu lassen beziehungsweise zu öffnen. Damit scheint er auf die richtige Karte zu setzen, denn Sobig.E breitet sich seit gestern Abend rapide aus.

Abgesehen von der Auslieferung als ZIP-Archiv handelt es sich bei dem neuen Wurm um einen gewöhnlichen Massmailer: Einmal ausgeführt, nistet er sich im Windows-Verzeichnis ein. Von dort startet er bei jedem Reboot neu und verschickt über eine integrierte SMTP-Engine Kopien an alle E-Mail-Adressen, die er im Windows-Adressbuch sowie in HTML- oder Textdateien findet. Zudem kann er sich über Windows-Shares ausbreiten. (jlu)