Es verbreitet sich zur Zeit wieder eine neue Version des Sobig-Wurms (Sobig.E)
im Internet. Die Lebenszeit ist wie bei seinem Vorgängern bis zu einem
bestimmten Datum begrenzt. Das finden des Virus wird dadurch erschwert, das
dieser seine Absenderadresse fälscht.
Nach Informationen zahlreicher Hersteller von Antiviren-Software hat sich auch
der Wurm Sobig.E in kürzester Zeit sehr stark verbreitet. Zur Verbreitung
über E-Mail sucht der Wurm auf allen lokalen Laufwerken in den Dateien
mit den Endungen .wab, .dbx, .htm, .html, .eml sowie .txt nach gültigen
E-Mail-Adressen. Dann versendet sich der Wurm über eine eigene SMTP-Engine
mit einer beliebigen Absenderadresse, die er bei der Adressensammlung gefunden
hat. Somit ist der wahre Versender einer verseuchten E-Mail nicht ohne weiteres
auszumachen, was die Eindämmung des Wurms erschwert.
Die Wurm-Komponente befindet sich – wie üblich – im Mail-Anhang mit wechselnden
Bezeichnungen, der vom Anwender manuell geöffnet werden muss und zudem
sogar komprimiert ist. Das bedeutet, dass man als Betroffener recht viel Aufwand
betreiben muss, um den verseuchten Anhang zu öffnen und die Wurm-Verbreitung
zu aktivieren. Die Betreffzeile erzeugt der Wurm aus einer Auswahl von mehreren
Textteilen, während der Nachrichtentext immer „Please see the attached
zip file for details.“ lautet. Wird der Wurm aktiviert, kopiert er sich
in das Windows-Verzeichnis und legt einen Registry-Eintrag an, um so bei jedem
Systemstart automatisch geladen zu werden.
Neben der Mail-Verbreitung sucht der Wurm nach angeschlossenen Netzlaufwerken
und versucht sich in die Autostartordner der betreffenden Windows-Verzeichnisse
zu kopieren, um so auch auf anderen Systemen beim Programmstart geladen zu werden.
Am 14. Juli 2003 beendet der Wurm sämtliche Aktivitäten und verbreitet
sich somit nur bis zum 13. Juli 2003.
Die meisten Hersteller von Antiviren-Software stellen bereits aktualisierte
Virensignaturen zum Download bereit. Symantec bietet ein kostenloses Tool
an, um den Wurm von einem befallenen System zu entfernen.