Presse

Lesen Sie unsere neuesten Meldungen

22 Aug 2003

Sobig-F Wurm: News Update von Sophos

Uhr

Sophos hat diese Seite veröffentlicht, um hilfreiche Links auf die neuesten Informationen über den W32/SobigF Wurm zu Verfügung zu stellen. Wir empfehlen, diese Seite als Lesezeichen einzurichten und immer wieder hierher zurückzukehren, um sich über die neuesten Entwicklungen zu informieren.

News Update

22:00 GMT, 22. August 2003 Angriffsphase endet: Computer, die mit W32/SobigF infiziert sind, hören auf, mit den remoten IPAdressen zu kommunizieren. Das Forscherteam von Sophos wird die Situation auch während des Wochenendes weiter beobachten und diese Seite aktualisieren, sobald es Neuigkeiten während der Angriffsphase am Sonntag gibt.

21:05 GMT, 22. August 2003 Von den 20 IPAdressen im Code von W32/SobigF antwortet derzeit nur eine. Diese IPAdresse wurde von SophosForschern nach Verona, New Jersey nachverfolgt. Es gibt allerdings keine Hinweise darauf, dass der Wurm mit dieser IPAdresse erfolgreich kommuniziert, und allem Anschein nach finden keine schädlichen Downloads statt. Es dauert noch weniger als eine Stunde, bis der Wurm mit den Versuchen aufhört, ein Update aus dem Internet herunterzuladen. Das VirenexpertenTeam von Sophos beobachtet weiterhin die Entwicklungen.

20:09 GMT, 22. August 2003 Sophos hat keine Meldungen von Anwendern erhalten, deren Computer mittels W32/SobigF neue, schädliche Inhalte heruntergeladen haben. Das VirenexpertenTeam bei Sophos beobachtet die Situation weiter.

19:46 GMT, 22. August 2003 Sophos meldet, dass seit Mitternacht 400.000 Instanzen des W32/SobigF Wurms versucht haben, das EMailSystem des Unternehmens zu durchbrechen.

19:00 GMT, 22. August 2003 Die Angriffsphase beginnt: Computer, die mit W32/SobigF infiziert sind, beginnen ihre Versuche, mit den im Wurm verschlüsselten IPAdressen zu kommunizieren. Einige der IPAdressen sind nicht mehr verfügbar und es gibt nicht bestätigte Berichte, dass das FBI und die Royal Canadian Mounted Police dabei geholfen haben, einige Computer von dem Internet zu trennen.

15:15 GMT, 22. August 2003 Experten bei Sophos informieren Netzwerk und Systemadministratoren darüber, mit welchen Sofortmaßnahmen sie verhindern können, dass der Wurm potentiell schädliche Updates aus dem Internet herunterlädt.

11:45 GMT, 22. August 2003 Sophos beginnt die Besitzer von IPAdressen zu kontaktieren, die innerhalb des W32/SobigF enthalten sind. Im Rahmen dessen werden Netzwerkadministratoren und Computerbesitzer in mehreren Ländern, darunter die USA, Kanada und Korea, informiert.

11:29 GMT, 22. August 2003 Sophos warnt davor, dass W32/SobigF eine zweite Angriffswelle vorbereitet, indem er versucht, Code aus dem Internet zwischen 19:00 und 22.00 Uhr GMT herunterzuladen.

19. August 2003 Sophos stellt einen Schutz vor dem W32/SobigF Wurm zur Verfügung. Enterprise Manager Kunden werden automatisch aktualisiert. Anwender von Sophos MailMonitor für SMTP, die die Dateifilterungstechnologie im Einsatz haben, sind bereits geschützt.

Wichtige Information

W32/SobigF verwendet das Network Time Protocol (NTP), um auf einen von verschiedenen Servern zuzugreifen und das aktuelle Datum und die Uhrzeit festzustellen.

Wenn die ausgegebene Zeit zwischen 19.00 und 22.00 Uhr UTC+0 am Freitag oder Sonntag liegt, sendet W32/SobigF ein UDPPaket an Port 8998 eines RemoteServers. Durch diese Funktion können ein Trojaner oder zusätzliche Wurmkomponenten heruntergeladen und gestartet werden.

Wenn das Datum der 10. September 2003 oder später ist, deaktiviert sich der Wurm.

Um zu verhindern, dass der schädliche Code von W32/SobigF heruntergeladen wird, rät Sophos dringend, dass Kunden die Firewall ihres Unternehmens so konfigurieren, dass Versuche, sich mit dem UDPPort 8998 zu verbinden, abgeblockt werden.

Kunden sollen sich in der Dokumentation ihrer Firewall informieren oder sich an ihren FirewallProvider für Hilfe bei der Implementierung der Konfigurationsänderungen wenden.

Ausführliche Informationen über W32/SobigF und wie Sie sich vor dem Angriff schützen können

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos‘ Complete-Security-Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt.

Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.