Den Namen "Sobig.F" wirst du wahrscheinlich schon gehört haben. Die Wahrscheinlichkeit, dass du mit ihm in Kontakt gekommen bist, ist beinahe ebenso hoch. Seit einer Woche hat der Rekord-Wurm zahlreiche Mailserver lahm gelegt und Postfächer überschwemmt. Viren-Experten sehen nun langsam ein Ende der Virus-Flut. Die zahlreichen Gegenmaßnahmen dürften langsam greifen. So schützt du dich vor dem Angriff:
Bei Sobig.F handelt es sich, wie schon bei seinen
"Vorfahren", um einen Mass-Mailer. Er beschafft
sich die Adressen zum Weiterversenden nicht nur aus dem Outlook-Adressbuch,
sondern durchsucht auch die anderen Ordnern und Dokumente auf
der Festplatte. Der Wurm ist außerdem nicht auf Outlook
angewiesen: Er besitzt eine eigene, im Vergleich zu seinen Vorgängern
deutlich verbesserte, integrierte SMTP-Mail-Funktion.
Mass-Mailer
Der Schädling kann jetzt mehrere E-Mails gleichzeitig
verschicken und hat sich um ein Vielfaches schneller verbreitet.
Seit Sonntag bemerken Viren-Experten einenRückgang der Verbreitung.
Die weltweite Aufklärung über die Gefahren und die
eingeleiteten Sicherheitsmaßnahmen dürften die Verbreitung
eingedämmt haben. Ganz vorbei ist die Gefahr aber noch nicht:
Sobig.F verbreitet sich weiter, wenn auch langsamer. Außerdem
werden neue Varianten in der nächten Zeit in Umlauf kommen,
warnen die Spezialisten.
Immerhin: Außer einer riesigen
Mailflut richtet Sobig.F keinen Schaden an: Es werden keine Daten
gelöscht und auch Hacker erhalten nicht Zugang zum befallenen
PC. Sobig.F kann vielfältige Formen annehmen, was es Mail-Filern
und Anti-Viren-Programmen zusätzlich erschwert. Die durchschnittliche
Dateigröße beträgt 74kb, variiert jedoch von Generation
zu Generation. Wird Sobig.F durch einen Doppelklick auf ein Attachment
aktiviert, kopiert er sich in das Windows-Verzeichnis mit dem
Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem
Namen "WINSTT32.DAT" im gleichen Verzeichnis ab.
Ein Ende der Mail-Flut ist erst am 10. September
in Sicht, dann deaktiviert sich der Wurm selbst. Laut Experten
ist das aber kein gutes Zeichen, es bedeute, dass der Sobig.F-Programmierer
noch gefährlichere Versionen plane.
So erkennst du den Wurm:
Generell gilt: Öffne keine Attachments (Dateianhänge),
wenn du nicht genau weißt, was sich darin befindet - es
könnte ein Virus sein!
Achtung, wenn du in einem E-Mail folgendes findest:
Im Subject:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Wenn das Attachment lautet:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Wenn der Text lautet:
See the attached file for details
Please see the attached file for details
So kannst du den Wurm laut dem
Wiener Virenexperten Ikarus manuell entfernen:
+ Lösche zuerst die Registry-Einträge
(bei "Ausführen" regedit eingeben)
+ Reboote dann den PC
+ Lösche anschließend die Dateien "WINPPR32.EXE"
und "WINSTT32.DAT" aus dem Windows-Verzeichnis
Ein Entfernungstool von Ikarus findest du rechts
in der Linkliste.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.