Re: Sobig.F Update

Psychopath — Fri, 22 Aug 2003 16:59:31 GMT

Langsam wird's ja interessant. Enttaeuschend ist halt, dass Masterserver gebraucht werden - central points of failure. Es sollte ein richtiges p2p-Netzwerk sein..

Lustig finde ich auch, dass die meisten der oben angefuehrten IPs aus Nordamerika kommen (US, CA). Nur zwei oder drei aus KR.

Sobig.F Update

Funki — Fri, 22 Aug 2003 16:05:00 GMT

Mail-Wurm Sobig.F versucht nachzuladen [Update]

Die Antiviren-Spezialisten von F-Secure warnen davor, dass der massiv verbreitete Sobig.F-Wurm ab dem heutigen Freitagabend möglicherweise neue Komponenten von Rechnern im Netz bezieht. Dadurch könnte der Wurm noch weiteren Schaden verursachen.

Andere Hersteller von Antiviren-Software bestätigen diese Informationen. So gibt auch Symantec an, dass Sobig.F in der Lage ist, beliebigen Programmcode von verschiedenen fest durch verschlüsselte Angaben im Code verankerten "Master-Servern" zu laden und auszuführen. Diese Funktion ließe sich durch den Wurm beispielsweise verwenden, um sich selbst zu aktualisieren oder gar, um Schadroutinen nachzuladen.

Sobig.F kommuniziert mit NTP-Servern, um sich die aktuelle UTC-Zeit zu holen. Nach Angaben von Symantec soll der Schädling von Freitag bis Sonntag jeweils zwischen 19 und 22 Uhr UTC (zwischen 21 und 24 Uhr deutscher Sommerzeit) versuchen, mit den Master-Servern Kontakt aufzunehmen. Möglicherweise könnte die Gefahr durch Sobig.F also ab dem heutigen Freitagabend, 21 Uhr mitteleuropäischer Zeit, neue Dimensionen annehmen. Ob Sobig tatsächlich zum angegebenen Zeitpunkt neue Komponenten lädt und welche Funktion diese ausführen sollen, ist zum gegenwärtigen Zeitpunkt noch unklar.

Hinweise zum Schutz vor Viren und Würmern, auch vor Sobig.F, bieten die Antiviren-Seiten von heise Security: Rechner, die von dem Wurm nicht befallen sind, können natürlich auch keine zusätzlichen Schadroutinen ausführen ...

Update: Es ist mittlerweile gelungen, die verschlüsselte Liste der Masterserver aus dem Wurmcode zu extrahieren (ohne Gewähr):

12.158.102.205
12.232.104.221
24.197.143.132
24.202.91.43
24.206.75.137
24.210.182.156
24.33.66.38
61.38.187.59
63.250.82.87
65.177.240.194
65.92.186.145
65.92.80.218
65.93.81.59
65.95.193.138
66.131.207.81
67.73.21.6
67.9.241.67
68.38.159.161
68.50.208.96
218.147.164.29

Administratoren sollten diese IP-Adressen vorsorglich auf den Firewalls blockieren, damit im Infektionsfall kein Dateitransfer mit diesen Servern stattfinden kann. Laut F-Secure handelt es sich bei diesen 20 Systemen offenbar um ständig ans Internet angebundene DSL-Verbindungen. Nun arbeiten die AV-Unternehmen in Koordination mit verschiedenen CERTs mit Hochdruck daran, diese Masterserver vom Netz zu nehmen. Dies wird nach Aussagen von F-Secure allerdings kein leichtes Unterfangen: "Unglücklicherweise haben die Wurm-Autoren diesen Schritt vorausgesehen", sagt Mikko Hypponen von F-Secure. "Diese 20 Master-Rechner sind alle bei unterschiedlichen Providern angebunden, was es wahrscheinlich macht, dass man nicht alle Server bis 21.00 Uhr MEZ abklemmen kann. Selbst wenn nur ein Server erreichbar bleiben sollte, genügt das, um den Wurm zu versorgen."

Um die Kommunikation mit den Masterservern zu unterbinden, empfiehlt Symantec zusätzlich, die Ports 991-999 für eingehenden und Port 8998 für ausgehenden UDP-Verkehr zu sperren. (pab/c't)