Wurm "Sobig" als zäher Wiedergänger
Eine neue Variante des "Sobig"-Wurms verbreitet sich seit heute Vormittag mit rasantem Tempo. Auch von Nutzern in Österreich wurden zahlreiche entsprechende Eingänge gemeldet.
Teilweise bekommen die Betroffenen dabei innerhalb einer Stunde mehrere hundert Mails mit dem Wurm.
Sicherheitsfirmen haben die Variante "W32.Sobig.F@mm" [oder "Sobig.F"] teilweise bereits analysiert und bieten entsprechende Updates ihrer Schutz-Software und Entfernungs-Tools an.
Sophos zu "Sobig.F"Expansionsfreudig
Die neue Variante aus dem "Sobig"-Clan verbreitet sich wie gehabt mittels eines eigenen SMTP-Clients via E-Mail. Die E-Mail-Adressen sucht sich der Wurm auf betroffenen Rechnern in Dateien mit den Endungen .DBX, .HLP, .MHT, .WAB, und .HTML.
Ist ein Rechner infiziert, verbreitet sich der Wurm an alle vorgefundenen E-Mail-Adressen. Und ersten Befunden zufolge scheint er sich dabei nicht mit dem einmaligen Versand an eine Adresse zu begnügen, sondern müllt einzelne Postfächer regelrecht zu.
Die Betreffzeile und die Länge der Attachements der "Sobig.F"-Mails variieren, genauso wie der Absender, den sich der Wurm auch aus den vorgefundenen Adressbüchern auswählt.
Wird "Sobig.F" durch einen Doppelklick aktiviert, kopiert er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab.
Die manuelle Entfernung des Wurms kann laut dem Wiener Unternehmen Ikarus mit folgenden Schritten vorgenommen werden:
1. Löschen der entsprechenden Registry-Einträge
2. Reboot des PC
3. Löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis
Ikarus zu "Sobig.F"Amtliche Warnung
Auch das deutsche Bundesamt für Sicherheit in der Informationstechik [BSI] hat bereits vor "Sobig.F" gewarnt.
Der Wurm habe innerhalb nur weniger Stunden bereits Tausende Rechner infiziert, teilte das BSI mit.