<ul>sorbig f ist unterwegs

auch ich habe es persoenlich mitbekommen, wie aktiv dieser kleine fiesling ist.
mein postfach war ordentlich voll, ca. 60 mails mit dem sorbig f frei haus.
ich wusste das er bereits unterwegs ist, aber das er sich in solchem tempo verbreitet konnte ich nicht glauben.
auch dieser wurm unterscheidet sich nicht allzu stark von seinen vorgaengern. wie immer kommt er wie schon gesagt per email ins haus und wie gewohnt eine *.pif/*.zip datei, welche man auf keinen fall oeffnen sollte. keine sorge, wie der blaster verbreitet er sich nicht. man muss diesen kleinen fiesling hier schon selbst ausfuehren damit er einen infizieren kann.
aber nicht nur durch email verbreitet er sich, er kann sich auch uebers lokale netz verbreiten, indem er sich in gemeinsame verzeichnisse kopiert.

namen

davon hat er viele, aber am meisten ist er unter dem namen W32.Sobig.F@mm bekannt. die restlichen namen kann man unten bei den links zu antivirensoftware-herstellern finden

groesse des kleinen

72.000 kilobytes (mit TELock gepackt)

infizierung

wie schon gesagt ist die verbreitung per email und auch ueber das lokale netzwerk.
informationen zu der verbreitung per email
die emailadressen von denen er kommt sind alle gefaelscht, auch wenn man eineige der adressen kennen sollte, sind diese gefaelscht. also auf keinen fall oeffnen!
es koennen aber auch wieder microsoft adressen sein oder auch beliebig andere.
die mails haben alle anhaenge und einen betreff die wie folgt ca. aussehen.

betreff

<ul>[*] Re: Details [*] Re: Approved[*] Re: Re: My details[*] Re: Thank you! [*] Re: That movie [*] Re: Wicked screensaver[*] Re: Your application[*] Thank you![*] Your details[*] Re: That movie [*] Re: Your application [*] Undeliverable: Re: That movieund weitere...[/list]
nachrichtentext

<ul>[*] Please see the attached file for details. [*]See the attached file for details[*]Please see the attached zip file for details.[/list]
anhang

<ul>[*]your_details.pif[*]your_details.zip [*]movie0045.pif [*]movie0045.zip[*]document_all.pif [*]document_all.zip[*]details.pif [*]details.zip[*]your_document.pif [*]your_document.zip[*]document_9446.pif [*]document_9446.zip[*]application.pif [*]application.zip[*]wicked_scr.scr [*]wicked_scr.zip[*]thank_you.pif [*]thank_you.zip[/list]
was macht sorbig f

also er kleine fiesling, laedt nach ausfuehrung dateien aus dem internet und erstellt damit einen spam-relay-server. das ganze passiert auf dem infizierten rechner.er ist einfach ein massmail-wurm, und das mit erfolg. er besitzt eine SMTP-maschine, mit der er an alle adressen sendet, welche er in den folgenden endungen auf dem pc findet.

endungen

<ul>[*] .wab[*] .dbx [*] .htm[*] .html [*] .eml[*] .txt[*] .hlp[*] .mht[/list]
welche ports nutzt der wurm?

<ul>[*]UDP 99x incoming[*]UDP 8998 outgoing[/list]
woran merke ich das ich infiziert bin?

wenn man sich mit diesem wurm infiziert hat, kann mal die datei WinPPR32.EXE und WINSTT32.DAT in dem windows-verzeichniss finden.
auch ports oeffnet der wurm, denn diese muss er benutzen wenn er sich die daten aus dem netz besorgt die er benoetigt. und auch zum senden brauch er diese.
es werden die folgenden ports geoeffnet.ports<ul>[*] 995 bis 999 (UDP)[/list]aber nicht nur das, auch registrieschluessel werden wieder erstellt, damit der wurm bei einem neustart geladen werden kann.

die registrieschluessel<ul>
[*]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run TrayX = "%Windir%\WinPPR32.EXE /sinc"
[*]HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run TrayX = "%Windir%\WinPPR32.EXE /sinc"[/list]
betroffene systeme

<ul>[*]Windows 2000[*]Windows 95[*]Windows 98[*]Windows Me[*]Windows NT[*]Windows XP[/list]
nichtbetroffene systeme

<ul>[*]Linux[*]Macintosh[*]OS/2[*]UNIX[*]Windows 3.x[/list]
entfernung des fieslings per hand

bei windows 95/98/ME das system im abgesicherten modus starten (f8 bei booten druecken und hier abgesicherter modus auswaehlen).
bei windows NT/XP/2000 den prozess WINPPR32.EXE toeten (strg+alt+entf [del+alt+del] ).
nun muss man die dateien WINPPR32.EXE und WINSTT32.DAT aus dem windows verzeichniss loeschen (C:\windows oder C:\winnt).
nachdem man diese dateien erfolgreich geloescht hat, kann man nun die regisrtieeintraege entfernen. dies macht man ganz einfach. auf die start gehen und dort zu ausfuehren und da schreiben wir dann regedit rein. hier kommen wir nun in die registrie und suchen dort die folgenden eintraege.aber aufpassen nicht die kompletten eintraege loeschen, sondern nur bearbeiten.<ul>[*]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run[*]HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\Curr entVersion\Run[/list]bei diesen eintraegen nur das "TrayX" entfernen!

removetools verschiedener hersteller<ul>[*]Stinger McAfee - Stand Alone Remover[*]Disinfection Tool F-Secure[*]trojaner-info.de gegenmittel trojaner-info.de[/list]
weitere namen und informationen verschiedener anbieter von antivirensoftware
<ul>[*]W32.Sobig.F@mm heise.de - informationen in deutsch[*] Win32.Sobig.F@mm bitdefender.de - informationen in deutsch[*]Worm/Sobig.F H+BEDV - informationen in deutsch[*]WORM_SOBIG.F trendmicro - informationen in deutsch[*]W32/Sobig-F Sophos - informationen in deutsch[*]Achtung! Neue Sobig-Version treibt ihr Unwesen kaspersky.com - news in deutsch[*]I-Worm.Sobig.f viruslist.com - informationen in englisch[*]W32/Sobig.f@MM McAfee - informationen in englisch [*]Sobig.F F-Secure - informationen in englisch[*]W32.Sobig.F@mm symantec.com - informationen in englisch[*]W32/Sobig.F trojaner-info.de - infos in deutsch[/list]

del/FTF

[d3l]&lt;19/08/2003&gt;[/list]

hier der text nocheinmal

http://mp3-world.net/d/forum/viewtopic.php?t=9380

auch dieser post von hyri bietet informationen dazu

Sobig zieht sich neue Komponenten aus dem Netz : http://www.heise.de/newsticker/data/pab-22.08.03-000/

hyrican