I-Wurm Sobig.C - erfolgreiche Kopie

Mit W32.Sobig.C ist eine neue Variante eines bereits bekannten Wurms (Sobig.B alias Palyh) unterwegs. Trotz plumper Verbreitungsmethode - über eine gefälschte Microsoft-Adresse und auszuführender Datei im Anhang - scheint der Schädling erfolgreich.

Sobig.C will den Benutzer über wechselnde Subjects Glauben machen, ein gewisser bill@microsoft.com würde ihm wahlweise Fotos, Videos oder Applikationen schicken. Im Anhang der Mail verbirgt sich dann der Schädling, der wie die bekannte Ur-Version (Palyh) nur bis zu einem bestimmten Zeitpunkt aktiv ist - in diesem Fall bis 8. Juni 2003. Danach beendet der Wurm sein Werk.

Zur Verbreitung durchsucht der Wurm die lokalen Laufwerken und dort diverse Dateitypen nach verwertbaren Mail-Adressen und verschickt sich dorthin mittels eigener SMTP-Engine. Wird der Wurm über die ebenfalls wechselnden Anhänge gestartet, kopiert er sich in das Windows-Verzeichnis und trägt sich in die Registry ein. Zudem versucht er, sich von einigen Webseiten Updates zu holen, was eine weitere Gefahr birgt. Findet Sobig.C verbundene Laufwerke, kopiert er sich in den dortigen Autostart-Ordner und infiziert so auch diese Maschinen nach einem Neustart. Die Antivirenhersteller haben - in der Regel - ihre Signaturen bereits angepasst. Symantec hat dem Wurm ein Removal-Tool gewidmet. (uba)