News

Wurmattacke

Heute Nachmittag hat eine massive Wurmattacke die TU erfaßt. In Spitzenzeiten wurden die TU-Mailserver mit 45 verseuchten E-Mails pro Minute bombardiert.

Sobig.F - so heißt jener Computerwurm, der sich heute Nachmittag auch an der TU

zu schaffen machte. Ab 14:45 Uhr konnte teilweise Entwarnung gegeben werden,

weil das Problem von den Administratoren "ausgesperrt" und keine verseuchten Mails

mehr zugestellt wurden. Allerdings ließen sich einige UserInnen dazu hinreißen,

verseuchte Attachments (v.a. Dateien mit den Endungen .PIF bzw. .SRC) zu öffnen.

Damit konnte der Wurm innerhalb der TU sein Unwesen weiter treiben.



Der neue Wurm ist eine von vielen Sobig-Varianten, die seit rund einem halben

Jahr im Internet kursieren. Er verbreitet sich via E-Mail sowie

Netzwerkfreigaben unter Windows und ist mit verschiedenen Betreffszeilen und

Attachments unterwegs.

Die E-Mail-Adressen sucht sich der Wurm auf betroffenen Rechnern in

Dateien mit den Endungen .DBX, .HLP, .MHT, .WAB, und .HTML. Er liest also auch

die von E-Mail-Browsern gecachten Dateien aus!

Ist ein Rechner infiziert, verbreitet sich der Wurm an alle vorgefundenen

E-Mail-Adressen. Und

ersten Befunden zufolge scheint er sich dabei nicht mit dem einmaligen Versand

an eine Adresse zu

begnügen, sondern müllt einzelne Postfächer regelrecht zu.





Wird das Attachment ausgeführt,

wird der Wurm aktiv und schreibt sich in das Windows-Verzeichnis mit dem Namen

"WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT"

im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt

er Einträge in der Registry ab.





Wie seine Vorgänger fälscht der Wurm Absender- und Empfänger-E-Mail-Adressen.

Daher sollten auch E-Mails von vermeintlich bekannten oder vertrauenswürdigen

Absendern geprüft werden! Hauptsächlich war im Mail-Body zu lesen: "See the

attached file for details". Dem Rat sollte man unter keinen Umständen folgen.



 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Letzte Änderung am 19.08.2003

.