Kaspersky Labs, eine international anerkannte Software-Schmiede im Bereich Datensicherheit, warnt vor einer neuen Variante des Internet-Wurms Sobig. Die Malware verbreitet sich als angehängte Datei über E-Mails sowie über allgemein zugängliche Laufwerke von lokalen Netzwerken. Für den Versand per E-Mail durchsucht Sobig die Dateien des infizierten Computers nach E-Mail-Adressen und verschickt an diese unbemerkt seine Kopien. Um Anwender dazu zu bringen, die Wurm-Datei zu starten, benutzt Sobig verschiedene Manipulationsmethoden. So tarnt er seine E-Mails beispielsweise als Meldungen des technischen Supports von Microsoft. Zu den Payloads von Sobig gehört unter anderem die Möglichkeit, aktualisierte Wurm-Versionen von Web-Servern herunterzuladen sowie SpyWare zu installieren. Da sich bereits die Vorgängerversion dieses Schädlings weit verbreitet hat, schließen die Antiviren-Experten von Kaspersky Labs eine neue große Epidemie nicht aus. Es sind bereits zahlreiche Meldungen von Infizierungen eingegangen.
„Wir haben allen Grund anzunehmen, dass der Viren-Autor in diesem Fall Spammer-Technologien zum anonymen Massenversand der Wurm-Kopien benutzt hat,“ so Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. „Die in Sobig eingebaute Verbreitungsfunktion ist schlicht und einfach nicht effizient genug, um eine so große Anzahl an Infektionen hervorzurufen. Deshalb haben wir es hier höchstwahrscheinlich mit einer Symbiose von Viren- und Spammer-Technologien zu tun.“
Sobig.b führt die Viren Top 20 an
Seit dem ersten Auftreten des Wurms Mitte Januar 2003 sind lediglich drei Wurm-Versionen registriert worden. Sobig.b (alias Palyh) hat dem Wurm praktisch neues Leben eingehaucht. So hat es der Wurm im Mai bereits auf den ersten Platz der Top 20 der meist verbreiteten Malware geschafft und die berüchtigten Schädlinge Klez und Lentin hinter sich gelassen. Doch im Wurm-Code von Sobig war ein Trigger eingebaut, so dass die Malware nach dem 31. Mai 2003 automatisch all ihre Funktionen – mit Ausnahme des Herunterladens zusätzlicher Dateien – deaktiviert hat. Dadurch war das Schicksal des Wurms besiegelt, weil sofort alle Web-Server geschlossen wurden, von welchen der Wurm seine Updates heruntergeladen hätte.
Begrenzte Lebensdauer der neuen Wurm-Variante
Die neue Version, Sobig.c, unterscheidet sich praktisch nicht von ihren Vorgängern und hat dieselbe Besonderheit: Der Wurm ist nur bis zum 8. Juni 2003 funktionsfähig. „Es entsteht der Eindruck, dass Würmer mit zeitlich begrenzter Lebensdauer zum besonderen Stil des Autors gehören, der leider noch nicht identifiziert werden konnte,“ meint Eugene Kaspersky. „Es kann davon ausgegangen werden, dass neue Würmer auftauchen, die jeweils bis zum 16., 23., 30. Juni usw. funktionsfähig sein werden.“
Die Antiviren-Datenbank von Kaspersky Anti-Virus bietet bereits Schutzverfahren gegen die neue Variante von Sobig. Detailliertere Informationen über die Sobig-Familie sind zu finden unter www.viruslist.com.
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev St
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
E-Mail: denis.zenkin@kaspersky.com
Kaspersky Labs
Andreas Lamm
Spretistraße 7
85057 Ingolstadt
Tel.: +49 / 700 / 55 0 10 000
Fax: +49 / 700 / 55 0 10 001
E-Mail: Andreas.Lamm@de.kaspersky.com
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
E-Mail: info@commcreativ.de
„Wir haben allen Grund anzunehmen, dass der Viren-Autor in diesem Fall Spammer-Technologien zum anonymen Massenversand der Wurm-Kopien benutzt hat,“ so Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. „Die in Sobig eingebaute Verbreitungsfunktion ist schlicht und einfach nicht effizient genug, um eine so große Anzahl an Infektionen hervorzurufen. Deshalb haben wir es hier höchstwahrscheinlich mit einer Symbiose von Viren- und Spammer-Technologien zu tun.“
Sobig.b führt die Viren Top 20 an
Seit dem ersten Auftreten des Wurms Mitte Januar 2003 sind lediglich drei Wurm-Versionen registriert worden. Sobig.b (alias Palyh) hat dem Wurm praktisch neues Leben eingehaucht. So hat es der Wurm im Mai bereits auf den ersten Platz der Top 20 der meist verbreiteten Malware geschafft und die berüchtigten Schädlinge Klez und Lentin hinter sich gelassen. Doch im Wurm-Code von Sobig war ein Trigger eingebaut, so dass die Malware nach dem 31. Mai 2003 automatisch all ihre Funktionen – mit Ausnahme des Herunterladens zusätzlicher Dateien – deaktiviert hat. Dadurch war das Schicksal des Wurms besiegelt, weil sofort alle Web-Server geschlossen wurden, von welchen der Wurm seine Updates heruntergeladen hätte.
Begrenzte Lebensdauer der neuen Wurm-Variante
Die neue Version, Sobig.c, unterscheidet sich praktisch nicht von ihren Vorgängern und hat dieselbe Besonderheit: Der Wurm ist nur bis zum 8. Juni 2003 funktionsfähig. „Es entsteht der Eindruck, dass Würmer mit zeitlich begrenzter Lebensdauer zum besonderen Stil des Autors gehören, der leider noch nicht identifiziert werden konnte,“ meint Eugene Kaspersky. „Es kann davon ausgegangen werden, dass neue Würmer auftauchen, die jeweils bis zum 16., 23., 30. Juni usw. funktionsfähig sein werden.“
Die Antiviren-Datenbank von Kaspersky Anti-Virus bietet bereits Schutzverfahren gegen die neue Variante von Sobig. Detailliertere Informationen über die Sobig-Familie sind zu finden unter www.viruslist.com.
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev St
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
E-Mail: denis.zenkin@kaspersky.com
Kaspersky Labs
Andreas Lamm
Spretistraße 7
85057 Ingolstadt
Tel.: +49 / 700 / 55 0 10 000
Fax: +49 / 700 / 55 0 10 001
E-Mail: Andreas.Lamm@de.kaspersky.com
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
E-Mail: info@commcreativ.de
