25.08.2003 11:15 |

Viren-Schutz

Wurm Sobig.F langsam eingedämmt

Den Namen "Sobig.F" wirst du wahrscheinlich schon gehört haben. Die Wahrscheinlichkeit, dass du mit ihm in Kontakt gekommen bist, ist beinahe ebenso hoch. Seit einer Woche hat der Rekord-Wurm zahlreiche Mailserver lahm gelegt und Postfächer überschwemmt. Viren-Experten sehen nun langsam ein Ende der Virus-Flut. Die zahlreichen Gegenmaßnahmen dürften langsam greifen. So schützt du dich vor dem Angriff:
Bei Sobig.F handelt es sich, wie schon bei seinen "Vorfahren", um einen Mass-Mailer. Er beschafft sich die Adressen zum Weiterversenden nicht nur aus dem Outlook-Adressbuch, sondern durchsucht auch die anderen Ordnern und Dokumente auf der Festplatte. Der Wurm ist außerdem nicht auf Outlook angewiesen: Er besitzt eine eigene, im Vergleich zu seinen Vorgängern deutlich verbesserte, integrierte SMTP-Mail-Funktion.
 
Mass-Mailer
Der Schädling kann jetzt mehrere E-Mails gleichzeitig verschicken und hat sich um ein Vielfaches schneller verbreitet. Seit Sonntag bemerken Viren-Experten einenRückgang der Verbreitung. Die weltweite Aufklärung über die Gefahren und die eingeleiteten Sicherheitsmaßnahmen dürften die Verbreitung eingedämmt haben. Ganz vorbei ist die Gefahr aber noch nicht: Sobig.F verbreitet sich weiter, wenn auch langsamer. Außerdem werden neue Varianten in der nächten Zeit in Umlauf kommen, warnen die Spezialisten.
 
 
Immerhin: Außer einer riesigen Mailflut richtet Sobig.F keinen Schaden an: Es werden keine Daten gelöscht und auch Hacker erhalten nicht Zugang zum befallenen PC. Sobig.F kann vielfältige Formen annehmen, was es Mail-Filern und Anti-Viren-Programmen zusätzlich erschwert. Die durchschnittliche Dateigröße beträgt 74kb, variiert jedoch von Generation zu Generation. Wird Sobig.F durch einen Doppelklick auf ein Attachment aktiviert, kopiert er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab.
 
Ein Ende der Mail-Flut ist erst am 10. September in Sicht, dann deaktiviert sich der Wurm selbst. Laut Experten ist das aber kein gutes Zeichen, es bedeute, dass der Sobig.F-Programmierer noch gefährlichere Versionen plane.
 
 
So erkennst du den Wurm:
Generell gilt: Öffne keine Attachments (Dateianhänge), wenn du nicht genau weißt, was sich darin befindet - es könnte ein Virus sein!
 
Achtung, wenn du in einem E-Mail folgendes findest:
 
Im Subject:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
 
Wenn das Attachment lautet:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
 
Wenn der Text lautet:
See the attached file for details
Please see the attached file for details
 
 
So kannst du den Wurm laut dem Wiener Virenexperten Ikarus manuell entfernen:
 
+ Lösche zuerst die Registry-Einträge (bei "Ausführen" regedit eingeben)
+ Reboote dann den PC
+ Lösche anschließend die Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis
 
Ein Entfernungstool von Ikarus findest du rechts in der Linkliste.
Donnerstag, 24. Juni 2021
Wetter Symbol