Neue Variante des Sorbig-Wurms ist unterwegs

Seit wenigen Stunden ist eine neue Variante des bekannten Sorbig-Wurms im Internet unterwegs. Sorbig.F hat innerhalb kürzester Zeit bereits mehrere Tausend Rechner befallen. Folgendes weiß der Virenspezialist Sophos darüber:

W32/Sobig-F ist ein Wurm, der sich via E-Mail und über Netzwerkfreigaben verbreitet. W32/Sobig-F kopiert sich als winppr32.exe in den Windows-Ordner und erstellt einen der folgenden Registrierungseinträge:

• HKLMSoftwareMicrosoftWindowsCurrentVersionRunTrayX = <Windows-Ordner>winppr32.exe /sinc
• HKCUSoftwareMicrosoftWindowsCurrentVersionRunTrayX = <Windows-Ordner<winppr32.exe /sinc

Der Wurm versendet sich als Attachment an E-Mail-Adressen, die er in verschiedenen Dateien auf dem Computer des Opfers findet.

Die E-Mail folgendes Format:

Betreffzeile: Ausgewählt aus -
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!

Text: Ausgwählt aus -
Please see the attached file for details.
See the attached file for details

Attachment: Ausgwählt aus -
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif

W32/Sobig-F versucht außerdem, sich zu verbreiten, indem er sich auf Windows-Netzwerkfreigaben kopiert und verwendet das Network Time Protocol eines von verschiedenen Servern, um das aktuelle Datum und die Uhrzeit festzustellen.

Die Hersteller von AntiViren-Software arbeiten bereits an einer neuen Signatur. Bis dahin sollte man auf keinen Fall die Dateianhänge der oben genannten Mails öffnen, denn nur so wird der Wurm aktiv.