Sobig-F Wurm: Sophos gibt Hinweise, wie der Download eines schädlichen Updates zu verhindern ist

August 22, 2003 Sophos Press Release

Code des SobigF Wurms

Experten von Sophos empfehlen Netzwerk und Systemadministratoren, Sofortmaßnahmen zu ergreifen, um den W32/SobigF Wurm daran zu hindern, ein potentiell schädliches Update aus dem Internet herunterzuladen.

Der Wurm enthält in seinem Code eine Liste mit verschlüsselten IPAdressen, mit denen Computer, die mit SobigF infiziert sind, signalisieren, dass sie für ein Update zur Verfügung stehen. Die infizierten Computer kommunizieren mit den IPAdressen auf dem UDPPort 8998. Sie warten außerdem an den UDPPorts 995999 möglicherweise, um Upates zu empfangen.

Analysten bei Sophos haben die Liste mit den IPAdressen entschlüsselt:

    12.158.102.205
    12.232.104.221
    24.33.66.38
    24.197.143.132
    24.202.91.43
    24.206.75.137
    24.210.182.156
    61.38.187.59
    63.250.82.87
    65.92.80.218
    65.92.186.145
    65.95.193.138
    65.93.81.59
    65.177.240.194
    66.131.207.81
    67.9.241.67
    67.73.21.6
    68.38.159.161
    68.50.208.96
    218.147.164.29

Sophos hat versucht, die Besitzer der IPAdressen zu kontaktieren und einige der Administratoren haben bereits Maßnahmen ergriffen, damit infizierte Computer nicht mit diesen Adressen kommunizieren können.

Sophos empfiehlt Unternehmen, großen ISPs und Internet Providern, alle Zugriffe auf IPAdressen aus der Liste oben abzublocken. So kann verhindert werden, dass infizierte Benutzer im Netzwerk Updates für W32/SobigF erhalten.

Netzwerk und Systemadministratoren können auch NTPAnfragen (außer denen an vertrauenswürdige Server) abblocken, so dass ihre infizierten Computer nicht wissen, dass es Zeit ist, nach dem schädlichen Update zu suchen.

Administratoren sollten außerdem in Erwägung ziehen, die Nutzung von UDPPort 8998 nach außen zu sperren oder zu beschränken.

Kunden sollten sich in der Dokumentation ihrer Firewall informieren oder sich an ihren FirewallProvider wenden, wenn sie Hilfe beim Implementieren dieser Konfigurationsänderungen benötigen.

Sophos hat mehr Informationen über die Desinfektion von Computern und wie ein Download des Trojaners zu verhindern ist, zur Verfügung gestellt.