W32/Sobig (inkl. Varianten)

Die Mail, in welcher der Sobig-Wurm eintrifft, hat in den ersten bekannten Varianten folgende Merkmale:

Absender: big@boss.com

Update vom 2. Juni 2003: Die Variante "C" dieses Wurms verwendet verschiedene Absender-Adressen. So könnte eine solche Mail aussehen, als sei sie von einem Ihrer Bekannten absichtlich an Sie verschickt worden.

Eine dieser Betreffzeilen:

Re: Here is that sample

Re: Document

Re: Sample

Re: Movies

Einer diesen Beilagennamen:

Sample.pif

Untitled1.pif

Document003.pif

Movie_0074.mpeg.pif

Um im Mailtext steht bloss: Attached file

Ist der Empfänger unvorsichtig genug, die Beilage zu öffnen, verschickt sich der Wurm an Mail-Adressen, die er aus Dateien mit den Endungen WAB, DBX, HTM, HTML, EML und TXT ausliest. Zudem versucht er aus dem Internet weitere Dateien (z.B. ein Backdoor-Programm) herunter zu laden. Allerdings ist davon auszugehen, dass die Seiten inzwischen gesperrt worden sind.

Der Wurm legt eine Kopie von sich mit Namen winmgm32.exe im Windows-Systemordner ab. Diese Datei trägt er in der Windows Registry ein, und zwar in mindestens einem dieser zwei Zweige:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

oder

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag trägt den Namen "WindowsMGM" und verweist auf die Datei winmgm32.exe.

Für die Ausbreitung im lokalen Netzwerk kopiert sich der Wurm in den Autostart-Ordner freigegebener Systemlaufwerke. Auf englischen Systemen sind dies diese Ordner:

C:\Windows\All Users\Start Menu\Programs\StartUp

oder

Documents and Settings\All Users\Start Menu\Programs\Startup

Es ist unbekannt, ob sich der Sobig-Wurm auch auf deutschsprachigen Windows-Installationen erfolgreich in die entsprechenden Ordner kopieren kann. Diese heissen nämlich anders:

C:\Windows\All Users\Startmenü\Programme\Autostart

oder

Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

Auf jeden Fall ist es sicherer, in lokalen Netzwerken prinzipiell keine Systemlaufwerke freizugeben.

Um den Wurm aus einem System zu entfernen, starten Sie den Computer im abgesicherten Modus. Führen Sie via Start/Ausführen den Registry-Editor (REGEDIT.EXE) aus und entfernen Sie den Eintrag "WindowsMGM" aus diesen Registry-Zweigen (falls vorhanden):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

oder

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Löschen Sie aus dem Windows-Ordner die Datei winmgm32.exe. Der Wurm legt unter gewissen Umständen noch zwei weitere Dateien ab, mit Namen dwn.dat und sntmls.dat. Am besten spüren Sie diese zwei Dateien über die Such-Funktion von Windows auf und entfernen diese ebenfalls.

Diese Informationen stammen von Antivirus-Herstellern wie F-Secure [1], NAI (McAfee) [2] und Symantec [3].

Update vom 2. Juni 2003: F-Secure hat auf der untenstehenden Sobig-Informations-Seite [4] ein Beseitigungsprogramm veröffentlicht. Lassen Sie sich hierbei nicht verwirren, dass dort auch der Palyh-Wurm erwähnt wird, denn bei Palyh handelt es sich um eine Art Variante von Sobig.

VARIANTE W32/Sobig.E, Update vom 7. Juli 2003:

Der Urheber des Sobig-Wurms hat sich eine Strategie einfallen lassen, die einem "Abonnement" nicht unähnlich ist. Er hat in seinen Schädling ein Verfallsdatum eingebaut und programmiert fast pünktlich auf dieses Datum hin Nachfolgewürmer. Zum Beispiel die Variante B des Wurms war so programmiert, sich ab dem 31. Mai 2003 nicht mehr zu verbreiten. Just am selben Tag wurde die Variante C in freier Wildbahn gesichtet und zwar mit dem Ablaufdatum des 8. Juni. Nun raten Sie mal, was keine 10 Tage später mit seiner Verbreitung anfing? Natürlich die vierte Ausgabe des Sobig-Wurms (Variante D, Verfall 2. Juli). So ist es kein Wunder, dass Ende Juni Sobig.E auftauchte, diesmal mit Verfallsdatum 14. Juli 2003.

Der Absender einer Sobig-Mail ist gefälscht, die Betreffzeilen und Mailtexte unterscheiden sich. Die Beilage trägt einen von fünf verschiedenen Namen:

Application.zip (enthält eine Datei namens Application.pif)

Document.zip (enthält eine Datei namens Document.pif)

Movie.zip (enthält eine Datei namens Movie.pif)

Screensaver.zip (enthält eine Datei namens Sky.world.scr)

Your_details.zip (enthält eine Datei namens Details.pif)

Auch Sobig.E verbreitet sich über ungeschützte Netzwerkfreigaben und verändert die Windows Registry:

Name des betroffenen Registry-Zweiges:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Name des Eintrags: "SSK Service"

Wert des Eintrags: "(Windows-Ordner)\winssk32.exe"

Name des betroffenen Registry-Zweiges:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Name des Eintrags: "SSK Service"

Wert des Eintrags: "(Windows-Ordner)\winssk32.exe"

Sowohl F-Secure [5] als auch Symantec [6] bieten auch für diese neue Sobig-Variante ein Beseitigungsprogramm an.

VARIANTE W32/Sobig.F, Update vom 21. August 2003:

Auch die neuste Version des Wurms besitzt wieder ein Verfallsdatum, diesmal ist es der 10. September 2003.

Als Absender werden auf dem Computer gefundene Mailadressen verwendet. Der Betreff des Mails variiert. Sobig.F verwendet folgende Namen für Attachements:

your_document.pif

document_all.pif

thank_you.pif

your_details.pif

details.pif

document_9446.pif

application.pif

wicked_scr.scr

movie0045.pif

Sobig.F sendet Mails an alle Adressen, die er findet. Ausserdem versucht er sich über Netzwerkfreigaben zu verbreiten, was er laut Symantec wegen Fehlern im Programmcode jedoch nicht schafft. Er kann vom Autor zudem dazu benutzt werden, Trojaner aus dem Internet zu laden und zu installieren. Auch diese Sobig-Version hinterlässt Spuren in der Registry:

Registry-Zweig:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

und

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag: "TrayX" = "%Windir%\winppr32.exe /sinc"

Sowohl F-Secure [7] als auch Symantec [8] bieten für diese Sobig-Variante ein Beseitigungsprogramm an.