MÜNCHEN (COMPUTERWOCHE) - Der Internet-Wurm "Sobig" ist seit Sonntag in der Variante "C" im Umlauf. Der Schädling verbreitet sich nach altbekanntem Muster via E-Mail. Infizierte Mails tragen die gefälschte Absenderadresse "bill@microsoft.com" und sind an folgenden Betreffzeilen zu erkennen:
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
Der Schädling ist so programmiert, dass er sich bis zum 8. Juni 2003 über einen integrierten SMTP-Server (Simple Mail Transfer Protocol) selbständig an Mail-Adressen versendet, die sich im Windows-Adressbuch sowie in HTML- und Text-Files auf der Festplatte finden. Sobig kopiert sich nach Ausführen des Mail-Anhangs als "mscvb32.exe" in das Windows-Verzeichnis und legt zusätzlich die Dateien "msddr.dll" sowie "Msddr.dat" an. Außerdem wird ein Verweis auf die Datei im "Run"-Schlüssel der Windows-Registrierdatenbank eingetragen ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" und "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run").
Sind Netzlaufwerke mit einem infizierten PC verbunden, kopiert sich der Wurm in dort vorhandene Autostart-Ordner und befällt auch diese Rechner nach einem Neustart. Die Antivirenhersteller empfehlen, die aktuellen Virensignaturen einzuspielen. Symantec bietet ein kostenloses Tool an, das infizierte PCs von Sobig.C befreien soll. (lex)