Sobig.F

Die Gruppe der Sobig-Computerwürmer ist seit Januar 2003 bekannt. Sie verwendeten verschiedene Methoden zur Ausbreitung.

Die bekannteste Variante Sobig.F wurde am 18. August 2003 entdeckt und verbreitete sich auf Rechnern mit dem Betriebssystem Microsoft Windows.^[1] Dabei brach Sobig.F alle bis dahin bestehenden Rekorde, was die Effektivität und Geschwindigkeit seiner Verbreitung betrifft. Er wurde bisher nur einmal, ein halbes Jahr später, von MyDoom übertroffen, dem bisher destruktivsten Wurm.^[2][3][4]

Die Gruppe der Sobig-Würmer besteht aus mehreren Varianten. Die Version Sobig.F ist mit Abstand die bekannteste. Von den Herstellern von Antiviren-Software wird der Wurm teilweise unterschiedlich bezeichnet:

• I-Worm.Sobig.f
• W32/Sobig.F-mm
• W32/Sobig.f@MM
• WORM_SOBIG.F

Am 18. August 2003 um 21:04 Uhr (GMT) wurde in den USA die erste mit Sobig-F infizierte Mail entdeckt. Am 19. August 2003 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung zur F-Variante heraus.^[5] Nach drei Tagen gaben IT-Sicherheitsspezialisten bekannt, dass täglich über zwei Millionen Sobig-Mails registriert werden. Als die Situation sich in Nordamerika und Europa wieder beruhigte, wurde China von einer massiven Infektionswelle getroffen.

Die ausführbare Datei mit dem Wurmprogramm hat eine Größe von durchschnittlich 70 bis 78 KBytes und ist mit TELock gepackt. Das Schadprogramm kann sich selbst polymorph verschlüsseln.

Sobig.F verfügt über einen integrierten SMTP-Server und Routinen, um DNS-Server direkt abzufragen oder Anfragen über das Network Time Protocol zu stellen. Dafür verwendet der Wurm die UDP-Ports 995 bis 999.

Sobig.F wurde vermutlich über eine pornografische Newsgroup freigesetzt und ist der sechste aus einer Serie von immer ausgeklügelteren Internet-Würmern, die seit Januar 2003 im Internet freigesetzt wurden. Am Montag, den 18. August um 19:46 Uhr (GMT) wurde ein Eintrag in sechs Newsgroups erstellt: alt.binaries.amp, alt.binaries.boneless, alt.binaries.nl, alt.binaries.pictures.chimera, alt.binaries.pictures.erotica und alt.binaries.pictures.erotica.amateur.female – Der Wurm wurde hier als pornografische Bilddatei getarnt erstmals freigesetzt. Das Posting war in allen Gruppen gleichlautend und hatte den Titel:

Nice, who has more of it? DSC-00465.jpeg

Wenn die vermeintliche Bilddatei von anderen Usern angeklickt wurde, versuchte sich der Wurm auf dem Rechner zu installieren. Der verwendete Account wurde mit Hilfe gestohlener Kreditkartendaten eingerichtet. Er wurde nur einmalig, zum Hochladen des Wurms, verwendet und nur wenige Minuten zuvor erstellt.

Sobig.F wird als netzwerkaktiver Massen-Mail-Wurm charakterisiert, der sich an alle E-Mail-Adressen sendet, die er in Dateien mit den Erweiterungen .dbx, .eml, .hlp, .htm, .html, .mht, .wab oder .txt findet.^[2]

Der eingenistete Wurm öffnet auf den befallenen Rechnern Ports zum Internet, installiert einen eigenen Mailserver und sendet parallel unablässig infizierte E-Mails an beliebige Empfänger.^[2][3][4] Diese Aktivitäten geschehen im Hintergrund, der Besitzer des infizierten Computers bekommt keine direkten Hinweise mitgeteilt.

• Der Absender der infizierten Mails wird gespooft und mit einer beliebigen E-Mail-Adresse gefüllt, die auf dem kompromittierten System zu finden ist. Ist keine Adresse zu finden, verwendet Sobig.F stattdessen admin@internet.com.^[6]
• Das Adressfeld wird mit einer beliebigen Mailadresse ausgefüllt, die der Wurm auf dem System findet.
• Die Betreffzeile der Mails enthält einen der folgenden Vermerke:^[6]
  • Re: Thank you!
  • Thank you!
  • Your details
  • Re: Details
  • Re: Re: My details
  • Re: Approved
  • Re: Your application
  • Re: Wicked screensaver
  • Re: That movie
• Der Text in den Mails selbst lautete: Please see attached file for details.
• Der E-Mailanhang, bei dem es sich um dem Wurm selbst handelt, trägt einen der folgenden Namen:^[6]
  • your_document.pif
  • document_all.pif
  • thank_you.pif
  • your_details.pif
  • details.pif
  • document_9446.pif
  • application.pif
  • wicked_scr.scr

Sobig.F nutzt keine Sicherheitslücken. Für eine Infektion muss der Mailanhang manuell geöffnet werden.

Wenn der Wurm Sobig.F aktiviert ist, kopiert er sich in das Windows-Verzeichnis mit dem Namen WINPPR32.EXE und legt eine Konfigurationsdatei mit dem Namen WINSTT32.DAT im selben Verzeichnis ab.

Folgende Einträge in der Registry werden durchgeführt:^[6]

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "TrayX" = C:\WINNT\WINPPR32.EXE /sinc

winppr32.exe ist die Programmdatei des Wurms, der über die Registryeinträge automatisch beim Systemstart aktiviert wird.

Der Wurm ist darauf programmiert, bis zum 10. September 2003 jeden Freitag und Sonntag Kontakt zu bestimmten Rechnern aufzunehmen, um von dort kleine Updates in Form weiterer Instruktionen zu erhalten. Dabei wird ein UDP-Paket an Port 8998 eines Remote-Servers gesandt. Diese angezielten Rechner wurden aufgrund der ermittelten IP-Adressen nach kurzer Zeit vom Netz genommen. Die Adressen der Update-Server lauteten:

Um die Kommunikation mit den Masterservern sicher zu unterbinden, gab die Firma Symantec eine Empfehlung an Systemadministratoren heraus. Man solle die betreffenden IP-Nummern sperren und zusätzlich auch die Ports 991 bis 999 für eingehenden und den Port 8998 für ausgehenden UDP-Verkehr sperren.

Der 10. September 2003 ist gleichzeitig ein eingebautes „Verfallsdatum“ für Sobig.F. Wird das schädliche Programm nach diesem Tag ausgeführt, löscht es sich selbst. Der Wurm hält sich dabei nicht an die Systemzeit, sondern fragt auf NTP-Servern die aktuelle UTC-Zeit ab.

Die heuristische Erkennung mancher Antimalwareprogramme konnte die schädlichen Aktivitäten von Sobig.F teilweise unterbinden. Aufgrund der seit 10. September 2003 praktisch nicht mehr auftretenden Neuinfektionen mit Sobig.F wurde der Wurm von IT-Sicherheitsfirmen wie beispielsweise Symantec nach einigen Wochen aus der Gefahrenstufe 4 in die Kategorie 2 verschoben.

Von Sobig.F infiziert werden potenziell alle Microsoft-Betriebssystemversionen von Windows 95 bis Windows XP ohne entsprechende Hotfixes.^[3] Die erste Edition von Windows 2003 für Server wurde erst eine Woche nach der Sobig.F-Welle veröffentlicht und war somit nicht betroffen. Eine entsprechend konfigurierte Personal Firewall war im Jahr 2003 auf Windows-Rechnern noch nicht etabliert. Zum Standard wurde das erst mit dem Service Pack 2 für Windows XP. Der Sobig-Wurm wäre damit effektiv an der Verbreitung gehindert worden, sofern die Einstellungen nicht pauschal alle ausgehenden Verbindungen ohne weitere Nachfrage zulassen.

• Spiegel.de: Weltrekord für Sobig.F -Schnellster Wurm aller Zeiten von Frank Patalong, 21. August 2003
• Spiegel.de: Sobig.F - Im Netz der Zombiemaschinen, 24. August 2003
• Spiegel.de: Sobig - Erste Spuren zum Virenautor, 25. August 2003
• Spiegel.de: Sobig.F-Epidemie - Unaufhaltsame E-Mail-Flut Interview von Frank Patalong mit Dirk Kollberg, 20. August 2003
• FAZ.net: Computerwurm Sobig.F verbreitet sich in Windeseile, Aktualisiert am 21. August 2003
• PC-Welt.de: Sobig.F zwingt Mailserver in die Knie von Hans-Christian Dirscherl, 21. August 2003
• Heise.de: Attacke von Mailwurm Sobig.F läuft anscheinend ins Leere von Jürgen Kur, 23. August 2003
• Heise.de: Mailwurm Sobig.F versucht nachzuladen (Update) von Patrick Brauch, 22. August 2003
• Heise.de: Wurm-Welle durch Sobig.F beeinträchtigt Mailverkehr von Daniel Bachfeld, 20. August 2003
• Heise.de: Die nächste Wurm-Welle rollt: Neue Sobig-Variante verbreitet sich rasant von Patrick Brauch, 19. August 2003
• Heise.de: Sobig.F ist Wurm des Jahres von Patrick Brauch, 19. Dezember 2003