|
In einer Art Schnitzeljagd sollte der Wurm sich die Web-Adresse von einem von zwanzig Rechnern besorgen, die nach Angaben von F-Secure in den USA, Kanada und Süd-Korea über DSL-Verbindungen permanent mit dem Internet verbunden waren. Die von diesen Rechnern vorab zurückgegebene Adresse führte allerdings ins Web-Nirwana. Anscheinend - so die Spekulationen - wird die korrekte Adresse mit einem möglicherweise gefährlichen Schadprogramm erst kurz vor dem im Wurm fest verdrahteten Startzeitpunkt für die Attacke auf diesen Rechnern hinterlegt. Um den Angriff zu unterbinden, wurden in einer koordinierten internationalen Aktion, an der außer F-Secure auch CERT-Teams, Internet Service Provider, das FBI und Microsoft teilnahmen, die meisten der zwanzig Rechner vom Internet genommen - die restlichen PCs waren vom gleichzeitigen Zugriff zehntausender verseuchter Rechner anscheinend so überlastet, dass sie nicht mehr in der Lage waren, die Download-Adresse anzugeben.
Wie seine Vorgänger (beispielsweise Sobig.B alias Palyh) kommt Sobig.F mit unterschiedlichen Namen für den Dateianhang, jedoch immer mit der Endung PIF oder SCR. Dahinter verbirgt sich in Wirklichkeit ein Windows-Programm. Die scheinbare Absender-Adresse hat er (außer wenn sie auf admin@internet.com lautet) auf dem infizierten Rechner gefunden - der angebliche Absender hat mit der Mail nichts zu tun und sein Rechner muss nicht infiziert sein. Auch die neuen Infektionsopfer wählt der Wurm aus Mail-Adressen, die er auf dem infizierten Rechner findet. Zur Infektion nutzt Sobig.F keine Sicherheitslücken, sondern verlässt sich darauf, dass der Empfänger den Anhang öffnet und damit den Wurm startet.
Zu seiner Verbreitung per Mail bringt Sobig ein eigenes SMTP-Programm mit, über das er die infizierten Mails verschickt. Sobig.F wird ab 10. September nicht mehr funktionieren und dann beim Aufruf sofort die Ausführung abbrechen.
Weitere Informationen: F-Secure Computer Virus Information Pages: Sobig.F
|
