Die Gruppe der Sobig-Computerwürmer ist seit Januar 2003 bekannt. Sie verwendeten verschiedene Methoden zur Ausbreitung.

Sobig.F
Name Sobig.F
Aliase W32.Sobig.F@mm
Bekannt seit 2003
Herkunft USA
Typ E-Mailwurm
Dateigröße 70.000 Bytes
Speicherresident ja
Verbreitung E-Mail, SMB
System Windows 9x, NT, 2000, XP
Programmiersprache MS Visual C++
Info Verwendet die Dateitypen EXE und PIF

Die bekannteste Variante Sobig.F wurde am 18. August 2003 entdeckt und verbreitete sich auf Rechnern mit dem Betriebssystem Microsoft Windows.[1] Dabei brach Sobig.F alle bis dahin bestehenden Rekorde, was die Effektivität und Geschwindigkeit seiner Verbreitung betrifft. Er wurde bisher nur einmal, ein halbes Jahr später, von MyDoom übertroffen, dem bisher destruktivsten Wurm.[2][3][4]

Versionen und Derivate

Bearbeiten

Die Gruppe der Sobig-Würmer besteht aus mehreren Varianten. Die Version Sobig.F ist mit Abstand die bekannteste. Von den Herstellern von Antiviren-Software wird der Wurm teilweise unterschiedlich bezeichnet:

  • I-Worm.Sobig.f
  • W32/Sobig.F-mm
  • W32/Sobig.f@MM
  • WORM_SOBIG.F

Funktion

Bearbeiten

Am 18. August 2003 um 21:04 Uhr (GMT) wurde in den USA die erste mit Sobig-F infizierte Mail entdeckt. Am 19. August 2003 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung zur F-Variante heraus.[5] Nach drei Tagen gaben IT-Sicherheitsspezialisten bekannt, dass täglich über zwei Millionen Sobig-Mails registriert werden. Als die Situation sich in Nordamerika und Europa wieder beruhigte, wurde China von einer massiven Infektionswelle getroffen.

Die ausführbare Datei mit dem Wurmprogramm hat eine Größe von durchschnittlich 70 bis 78 KBytes und ist mit TELock gepackt. Das Schadprogramm kann sich selbst polymorph verschlüsseln.

Sobig.F verfügt über einen integrierten SMTP-Server und Routinen, um DNS-Server direkt abzufragen oder Anfragen über das Network Time Protocol zu stellen. Dafür verwendet der Wurm die UDP-Ports 995 bis 999.

Verbreitung

Bearbeiten

Sobig.F wurde vermutlich über eine pornografische Newsgroup freigesetzt und ist der sechste aus einer Serie von immer ausgeklügelteren Internet-Würmern, die seit Januar 2003 im Internet freigesetzt wurden. Am Montag, den 18. August um 19:46 Uhr (GMT) wurde ein Eintrag in sechs Newsgroups erstellt: alt.binaries.amp, alt.binaries.boneless, alt.binaries.nl, alt.binaries.pictures.chimera, alt.binaries.pictures.erotica und alt.binaries.pictures.erotica.amateur.female – Der Wurm wurde hier als pornografische Bilddatei getarnt erstmals freigesetzt. Das Posting war in allen Gruppen gleichlautend und hatte den Titel:

Nice, who has more of it? DSC-00465.jpeg

Wenn die vermeintliche Bilddatei von anderen Usern angeklickt wurde, versuchte sich der Wurm auf dem Rechner zu installieren. Der verwendete Account wurde mit Hilfe gestohlener Kreditkartendaten eingerichtet. Er wurde nur einmalig, zum Hochladen des Wurms, verwendet und nur wenige Minuten zuvor erstellt.

Sobig.F wird als netzwerkaktiver Massen-Mail-Wurm charakterisiert, der sich an alle E-Mail-Adressen sendet, die er in Dateien mit den Erweiterungen .dbx, .eml, .hlp, .htm, .html, .mht, .wab oder .txt findet.[2]

Der eingenistete Wurm öffnet auf den befallenen Rechnern Ports zum Internet, installiert einen eigenen Mailserver und sendet parallel unablässig infizierte E-Mails an beliebige Empfänger.[2][3][4] Diese Aktivitäten geschehen im Hintergrund, der Besitzer des infizierten Computers bekommt keine direkten Hinweise mitgeteilt.

  • Der Absender der infizierten Mails wird gespooft und mit einer beliebigen E-Mail-Adresse gefüllt, die auf dem kompromittierten System zu finden ist. Ist keine Adresse zu finden, verwendet Sobig.F stattdessen [email protected].[6]
  • Das Adressfeld wird mit einer beliebigen Mailadresse ausgefüllt, die der Wurm auf dem System findet.
  • Die Betreffzeile der Mails enthält einen der folgenden Vermerke:[6]
    • Re: Thank you!
    • Thank you!
    • Your details
    • Re: Details
    • Re: Re: My details
    • Re: Approved
    • Re: Your application
    • Re: Wicked screensaver
    • Re: That movie
  • Der Text in den Mails selbst lautete: Please see attached file for details.
  • Der E-Mailanhang, bei dem es sich um dem Wurm selbst handelt, trägt einen der folgenden Namen:[6]
    • your_document.pif
    • document_all.pif
    • thank_you.pif
    • your_details.pif
    • details.pif
    • document_9446.pif
    • application.pif
    • wicked_scr.scr

Sobig.F nutzt keine Sicherheitslücken. Für eine Infektion muss der Mailanhang manuell geöffnet werden.

Änderungen am System

Bearbeiten

Wenn der Wurm Sobig.F aktiviert ist, kopiert er sich in das Windows-Verzeichnis mit dem Namen WINPPR32.EXE und legt eine Konfigurationsdatei mit dem Namen WINSTT32.DAT im selben Verzeichnis ab.

Folgende Einträge in der Registry werden durchgeführt:[6]

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

winppr32.exe ist die Programmdatei des Wurms, der über die Registryeinträge automatisch beim Systemstart aktiviert wird.

Der Wurm ist darauf programmiert, bis zum 10. September 2003 jeden Freitag und Sonntag Kontakt zu bestimmten Rechnern aufzunehmen, um von dort kleine Updates in Form weiterer Instruktionen zu erhalten. Dabei wird ein UDP-Paket an Port 8998 eines Remote-Servers gesandt. Diese angezielten Rechner wurden aufgrund der ermittelten IP-Adressen nach kurzer Zeit vom Netz genommen. Die Adressen der Update-Server lauteten:

  • 12.158.102.205
  • 12.232.104.221
  • 24.197.143.132
  • 24.202.91.43
  • 24.206.75.137
  • 24.210.182.156
  • 24.33.66.38
  • 61.38.187.59
  • 63.250.82.87
  • 65.177.240.194
  • 65.92.186.145
  • 65.92.80.218
  • 65.93.81.59
  • 65.95.193.138
  • 66.131.207.81
  • 67.73.21.6
  • 67.9.241.67
  • 68.38.159.161
  • 68.50.208.96
  • 218.147.164.29

Um die Kommunikation mit den Masterservern sicher zu unterbinden, gab die Firma Symantec eine Empfehlung an Systemadministratoren heraus. Man solle die betreffenden IP-Nummern sperren und zusätzlich auch die Ports 991 bis 999 für eingehenden und den Port 8998 für ausgehenden UDP-Verkehr sperren.

Der 10. September 2003 ist gleichzeitig ein eingebautes „Verfallsdatum“ für Sobig.F. Wird das schädliche Programm nach diesem Tag ausgeführt, löscht es sich selbst. Der Wurm hält sich dabei nicht an die Systemzeit, sondern fragt auf NTP-Servern die aktuelle UTC-Zeit ab.

Die heuristische Erkennung mancher Antimalwareprogramme konnte die schädlichen Aktivitäten von Sobig.F teilweise unterbinden. Aufgrund der seit 10. September 2003 praktisch nicht mehr auftretenden Neuinfektionen mit Sobig.F wurde der Wurm von IT-Sicherheitsfirmen wie beispielsweise Symantec nach einigen Wochen aus der Gefahrenstufe 4 in die Kategorie 2 verschoben.

Von Sobig.F infiziert werden potenziell alle Microsoft-Betriebssystemversionen von Windows 95 bis Windows XP ohne entsprechende Hotfixes.[3] Die erste Edition von Windows 2003 für Server wurde erst eine Woche nach der Sobig.F-Welle veröffentlicht und war somit nicht betroffen. Eine entsprechend konfigurierte Personal Firewall war im Jahr 2003 auf Windows-Rechnern noch nicht etabliert. Zum Standard wurde das erst mit dem Service Pack 2 für Windows XP. Der Sobig-Wurm wäre damit effektiv an der Verbreitung gehindert worden, sofern die Einstellungen nicht pauschal alle ausgehenden Verbindungen ohne weitere Nachfrage zulassen.

Einzelnachweise

Bearbeiten
  1. stern.de Virenstatistik - Sobig.F ist "Computerwurm des Jahres"
  2. a b c handelsblatt.com Experten warnen vor Sobig.F - Neuer Wurm schlägt alle Rekorde
  3. a b c merkur.de Computerwurm Sobig.F schlägt alle Rekorde
  4. a b verivox.de Wurm Sobig.F schlägt alle Rekorde
  5. teltarif.de Bundesamt warnt vor neuem Computer-Wurm Sobig.F - Wurm hat bereits mehrere Tausend Rechner infiziert
  6. a b c d f-secure.com Datenbankeintrag zu Sobig.F
Bearbeiten