Sobig.F schlägt alle Rekorde

Der seit Dienstag kursierende Internet-Wurm Sobig.F verbreitet sich nach Einschätzung von Experten zehnmal schneller als bislang bekannte Schädlinge. Der Wurm soll bereits Hunderttausende Windows-Rechner befallen haben.

Das Moskauer IT-Sicherheitsunternehmen Kaspersky Lab sprach am Donnerstag sogar von der "größten Epidemie" in den vergangenen anderthalb Jahren. "Hunderttausende Sobig.F-Kopien geistern nun durch das Internet, so dass bei einigen Unternehmen das E-Mail-System bereits kollabiert ist", sagte Gernot Hacker, Technik-Experte bei dem Münchner Anti-Virensoftware-Hersteller Sophos.

Sobig.F befällt Windows-Rechner und verbreitet sich über eine integrierte SMTP-Engine via E-Mail. Wie berichtet, setzt sich der Wurm unter der Bezeichnung "winppr32.exe" im Windows-Verzeichnis fest und sammelt aus lokal gespeicherten Dateien E-Mail-Adressen, an die er sich selbstständig weiterverschickt. Angelegt werden außerdem die Datei "winsst32.dat" und ein Eintrag in der Registrierdatenbank unter "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run". Dadurch wird der Wurm automatisch mit dem Windows-Start aktiviert.

Das Design des Wurms sieht vor, trojanische Pferde einzuschleusen, durch die vertrauliche Daten ausspioniert werden können. Sobig.F ist außerdem dazu geeignet ein Spam-Relay zu installieren, über das Massen-Mails geschickt werden, um die Absenderadresse zu verschleiern. Er öffnet außerdem die UDP-Ports 995 bis 999. (Jürgen Mauerer)