Lassen Sie sich während des Sobig-Virenausbruchs nicht von Autoresponder-E-Mails täuschen

August 20, 2003 Sophos Press Release

Der SobigF 
Wurm kann die EMailAdresse des Senders fälschen

Sophos hat zahlreiche Meldungen von Kunden erhalten, die sich besorgt darüber zeigen, dass Autoresponder sie fälschlicherweise beschuldigen, mit W32/SobigF infizierte EMails zu versenden.

Unter gefälschten Senderadressen versteht man EMailAdressen von infizieren Computern, die durch eine andere Adresse ersetzt wurden, häufig sucht sich der Virus die Adresse auf dem infizierten Computer. Das Fälschen des Sender findet meist statt, kurz bevor sich der Virus an weitere potentielle Opfer versendet. Da er die Adresse im "Sender"Feld ändert, kann keiner nachvollziehen, wer die EMail gesendet hat oder woher sie stammt.

Einige GatewayAnwendungen, die EMailAttachments auf virale Inhalte überprüfen, senden eine automatische Antwort, wenn ein Virus gefunden wurde. Wenn der "Sender"Name gefälscht wurde, kann die automatische Antwort bei einem unschuldigen Anwender landen und diesen verwirren. Ein solche falsche Anschuldigung kann sogar die Beziehung eines Unternehmens zu seinen Kunden schädigen.

"SobigF ist nicht der erste Virus, der EMailAdressen fälscht", sagt Carole Theriault, Technology Consultant bei Sophos. Andere bekannte Viren, wie z. B. Bugbear, Fizzer, Mimail und Klez haben ebenfalls diese Methode angewandt. Durch die gestiftete Verwirrung konnten sich die Viren häufig noch schneller und weiter verbreiten."

Sophos empfiehlt Anwendern, auf EMails von Autorespondern, in denen sie beschuldigt werden, mit SobigF infiziert zu sein und ihn zu verbreiten, nicht zu antworten. Sie sollten jedoch ihren Computer sicherheitshalber doppelt auf die neuesten Viren überprüfen für den Fall, dass sie tatsächlich infiziert sind.

Es wird empfohlen, EMailGatewayScanner einzusetzen, wie Sophos MailMonitor, mit denen Viren abgeblockt werden können, so dass sie nicht mehr in ein Netzwerk oder aus einem Netzwerk versendet werden. Wie oben erläutert, kann ein AutorespondMechanismus zu Problemen führen.

Weitere Informationen: Lesen Sie die Hinweise zum Entfernen von W32/SobigF und stellen Sie sicher, das Ihr System nicht erneut infiziert werden kann.