Allgemeine Beschreibung:
Erste Analysen zeigen, daß es sich bei Worm/Sobig.F um einen äußerst aggresiven Wurm mit Updatefunktion handelt. Der Wurm verbreitet sich unter Windows 9x, Me, 2000 und XP. Wie auch schon seine Vorgänger verschickt Worm/Sobig.F sich mit Hilfe einer eigenen SMTP-Engine (eigenes Versende-Postamt im Internet) per Email. Und dies rasend schnell.
Symptome:
- Existenz der Datei %windir%\winppr32.exe
- Unerwartet starker NTP Traffic
- Vorhandensein der genanten Dateien in der Registy.
Infektionsweg:
- Email
Technische Details:
Worm/Sobig.F hat eine Dateigröße von ~72 KBytes und ist TELock gepackt. Wird dieser ausgeführt, kopiert er sich in das Windows Verzeichnis unter folgenden Dateinamen:
winppr32.exe
und erstellt folgende Datei:
winstt32.dat
Diese Datei ist entweder 0 Byte groß oder der Wurm schreibt Konfigurationsdaten hinein.
Er legt folgende Einträge in der Windows Registry an:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"TrayX"="C:\\WINDOWS\\winppr32.exe /sinc"
[HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run]
"TrayX"="C:\\WINDOWS\\winppr32.exe /sinc"
Darüber hinaus kann der Wurm Dateien aus dem Internet nachladen und sich so beispielsweise selbst updaten oder auch neue Dateien ausführen. Über diese Funktionalität können aber auch wichtige und schützenswerte Informationen (Passwortdateien) eines infizierten Rechnersystemes ins Internet übermittelt werden. Auch ein Spamrelay ist denkbar. Für die nötigen Datumsberechnungen verwendet der Wurm das NTP-Protokoll.
Worm/Sobig.F öffnet auf dem lokalen Systems die Ports 995 bis 999 für UDP-Zugriffe und wartet auf für ihn bestimmte Nachrichten, beispielsweise Download und Ausführen eines Trojaners.
Der Wurm ist an einer der folgenden Betreff-Zeilen im Kopf einer Email zu erkennen:
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Thank you!
Re: Thank you!
Der eigentliche Inhalt einer Email besteht aus einer der folgenden Textzeilen:
Please see the attached file for details.
See the attached file for details
Der Name des Dateianhangs kann aus folgenden Namen bestehen:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Obwohl der Dateianhang auf eine eher „unverfängliche“ Dateiendung lautet, werden diese üblicherweise unter einer Standardinstallation nicht angezeigt.
