Impressum | Werbung

Geizhals » Forum » Security & Viren » Sobig.F Update (2 Beiträge, 94 Mal gelesen) Top-100 | Fresh-100

^ Forum  Security & Viren  #996981 Sobig.F Update Funki 22.08.2003, 18:05:00 Mail-Wurm Sobig.F versucht nachzuladen [Update] Die Antiviren-Spezialisten von F-Secure warnen davor, dass der massiv verbreitete Sobig.F-Wurm ab dem heutigen Freitagabend möglicherweise neue Komponenten von Rechnern im Netz bezieht. Dadurch könnte der Wurm noch weiteren Schaden verursachen.   Andere Hersteller von Antiviren-Software bestätigen diese Informationen. So gibt auch Symantec an, dass Sobig.F in der Lage ist, beliebigen Programmcode von verschiedenen fest durch verschlüsselte Angaben im Code verankerten "Master-Servern" zu laden und auszuführen. Diese Funktion ließe sich durch den Wurm beispielsweise verwenden, um sich selbst zu aktualisieren oder gar, um Schadroutinen nachzuladen. Sobig.F kommuniziert mit NTP-Servern, um sich die aktuelle UTC-Zeit zu holen. Nach Angaben von Symantec soll der Schädling von Freitag bis Sonntag jeweils zwischen 19 und 22 Uhr UTC (zwischen 21 und 24 Uhr deutscher Sommerzeit) versuchen, mit den Master-Servern Kontakt aufzunehmen. Möglicherweise könnte die Gefahr durch Sobig.F also ab dem heutigen Freitagabend, 21 Uhr mitteleuropäischer Zeit, neue Dimensionen annehmen. Ob Sobig tatsächlich zum angegebenen Zeitpunkt neue Komponenten lädt und welche Funktion diese ausführen sollen, ist zum gegenwärtigen Zeitpunkt noch unklar. Hinweise zum Schutz vor Viren und Würmern, auch vor Sobig.F, bieten die Antiviren-Seiten von heise Security: Rechner, die von dem Wurm nicht befallen sind, können natürlich auch keine zusätzlichen Schadroutinen ausführen ... Update: Es ist mittlerweile gelungen, die verschlüsselte Liste der Masterserver aus dem Wurmcode zu extrahieren (ohne Gewähr): 12.158.102.205 12.232.104.221 24.197.143.132 24.202.91.43 24.206.75.137 24.210.182.156 24.33.66.38 61.38.187.59 63.250.82.87 65.177.240.194 65.92.186.145 65.92.80.218 65.93.81.59 65.95.193.138 66.131.207.81 67.73.21.6 67.9.241.67 68.38.159.161 68.50.208.96 218.147.164.29 Administratoren sollten diese IP-Adressen vorsorglich auf den Firewalls blockieren, damit im Infektionsfall kein Dateitransfer mit diesen Servern stattfinden kann. Laut F-Secure handelt es sich bei diesen 20 Systemen offenbar um ständig ans Internet angebundene DSL-Verbindungen. Nun arbeiten die AV-Unternehmen in Koordination mit verschiedenen CERTs mit Hochdruck daran, diese Masterserver vom Netz zu nehmen. Dies wird nach Aussagen von F-Secure allerdings kein leichtes Unterfangen: "Unglücklicherweise haben die Wurm-Autoren diesen Schritt vorausgesehen", sagt Mikko Hypponen von F-Secure. "Diese 20 Master-Rechner sind alle bei unterschiedlichen Providern angebunden, was es wahrscheinlich macht, dass man nicht alle Server bis 21.00 Uhr MEZ abklemmen kann. Selbst wenn nur ein Server erreichbar bleiben sollte, genügt das, um den Wurm zu versorgen." Um die Kommunikation mit den Masterservern zu unterbinden, empfiehlt Symantec zusätzlich, die Ports 991-999 für eingehenden und Port 8998 für ausgehenden UDP-Verkehr zu sperren. (pab/c't) mfg Der einzige Mensch, der sich vernünftig benimmt, ist mein Schneider. Er nimmt jedesmal neu Maß, wenn er mich trifft, während alle anderen immer die alten Maßstäbe anlegen in der Meinung, sie paßten auch heute noch. George Bernard Shaw, irischer Dramatiker, 1856-1950   Re: Sobig.F Update  (Psychopath am 22.08.2003, 18:59:31)

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung