Sobig-F Wurm hat gemeinen Trick auf Lager

August 22, 2003 Sophos Press Release

Sophos alarmiert die Internetgemeinde, dass der Mass-Mailing Wurm W32/Sobig-F heute Abend zwischen 21:00 und 24:00 Uhr CET wahrscheinlich versuchen wird, ein Trojanisches Pferd herunterzuladen.

Der Wurm, der diese Woche bereits zahllose Rechner befallen hat, wurde so programmiert, dass er freitags und sonntags für drei Stunden infizierte PCs direkt zu einem Server umleitet, der von dem Virenschreiber kontrolliert wird. Von diesem Server wird der Wurm voraussichtlich ein Schadprogramm auf den verseuchten Rechner herunterladen. Derzeit ist nicht bekannt, was der heruntergeladene Code anrichten kann. Es ist jedoch möglich, dass eine weitere Viren- oder Spam-Attacke gestartet wird, sensible Daten gesammelt werden oder Dateien von dem infizierten Computer oder Netzwerk gelöscht werden.

"Bisher war der wesentliche Effekt von Sobig-F, dass er das Internet durch die von ihm erzeugte Flut an E-Mails enorm verlangsamt hat", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Heute Abend um 21 Uhr werden sich die meisten Mitarbeiter von Unternehmen bereits im Wochenende befinden, aber alle infizierten Computer, die dann noch eingeschaltet sind, können zu regelrechten Zombies mutieren, sobald der Virenautor Kontrolle über sie gewinnt. Falls es dem Sobig-Schreiber gelingt, den Trojaner erfolgreich auf den infizierten PCs zu installieren, können sich die Anwender auf einen wahren Schock gefasst machen. Stellen Sie deshalb sicher, dass Ihre Antiviren-Software aktuell ist. Führen Sie eine Virenüberprüfung durch, um festzustellen, ob der Computer verseucht ist. Wenn nötig, desinfizieren Sie ihn und vergewissern Sie sich, dass die Firewall des Rechners korrekt konfiguriert ist."

"Was der Wurm genau herunterlädt, bleibt leider ein Geheimnis bis heute Abend - es könnte sich um eine beleidigende, aber harmlose Nachricht handeln oder Code, der eine gewaltige Attacke auslöst. Die Zeit des Downloads fällt mit den Nachmittagsstunden für US-Unternehmen zusammen. Anwender sollten also vorsichtig sein und keinen unerlaubten Code auf ihrem Computer ausführen. Am Montag beginnt im Fernen Osten und in Australien gerade der Arbeitstag, wenn der Wurm zum zweiten Mal zum Download des unbekannten Codes ansetzt", fährt Gernot Hacker fort.

Sophos weist darauf hin, dass der Download verhindert werden kann, wenn Firewalls so konfiguriert sind, dass ausgehende Verbindungen mit UDP-Port 8998 abgeblockt werden. Zusätzlich sollte die Antiviren-Software aktualisiert und verseuchte PCs desinfiziert werden.

Sophos hat Informationen über die Desinfektion von Computern hier. Weitere Informationen über den Sobig-F Wurm finden Sie in der Virenanalyse.