Sober.P erwies sich am Pfingstwochenende als Zeitbombe mit Wiederholungs-Funktion. Eine unbekannte Zahl infizierter Rechner überschwemmt das Web mit rechten Spam-Mails. In zehn Tagen droht die nächste Attacke, was dann folgt, weiß niemand. Verhindern können das nur noch die PC-Nutzer selbst.Eigentlich, erklärt Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik, sei die Sober-Variante, die seit dem Wochenende teils rechtsradikale Spam-Mails verteilt, kein neues Virus: "Das Ding wurde nachgeladen." Rein technisch ist das Virus, das für die Mailflut in deutschen E-Mail-Accounts sorgt, identisch mit dem "WM-Wurm" - der hat nur neue Befehle bekommen.
Und die sahen so aus: "Die befallenen Rechner bekamen am 11. Mai den Befehl, sich von Servern im Internet neue Befehle abzuholen. Die lauteten in diesem Fall, E-Mail-Adressen aus Outlook, aber auch aus anderen Dokumenten abzugreifen und ab dem 15. Mai die bekannten Spam-Mails zu verschicken."
Und zwar zum einen an die gefundenen Adressen, aber auch in deren Namen: Dickopf sieht darum neben der Belastung von Netzwerken vor allem die Gefahr von "Ansehensverlust" als Hauptschaden der aktuellen Viren- und Spamwelle.
Klar, denn kein Unternehmen hat es gern, zum scheinbaren Verteiler teils rechtsextremer Inhalte zu werden. Auch Medienunternehmen schmeckt es natürlich gar nicht, wenn Artikel aus ihrem Angebot zur Untermauerung rechter Thesen missbraucht werden - auch der SPIEGEL ist hier betroffen.
Der User ist gefragtTun kann man dagegen herzlich wenig: Die einzigen, die die Spamflut jetzt noch unterbinden können, sind die Besitzer der befallenen Rechner. Dickopf: "Es ist enorm wichtig, dass die Leute ihre Virenscanner auf einen aktuellen Stand bringen!"
Und zwar jedermann, denn da die aktuelle Sober-Variante keine den befallenen Rechner selbst schädigende "Ladung" besitzt, bemerkt der Besitzer des Rechners es im Zweifelsfall gar nicht, dass er zum Spamverteiler gemacht wurde.
Davon aber gibt es so einige. Das genaue Ausmaß der Spamattacke ist zwar nicht bekannt. In den aktuellen Virenstatistiken, erklärt Carsten Liebl von AntiVir, spielten Soper.O, Q oder P keine große Rolle. Auch die Systemadministratoren der großen Freemailerdienste melden "wenig Probleme", wie es von Seiten GMX' heißt. Dort seien Soper.P-Mails etwa so häufig wie vor kurzem Sober.O-Mails - kein Wunder, handelt es sich ja wohl vornehmlich um "aufgefrischte" Alt-Infektionen.
In vielen Unternehmen sieht es dagegen ganz anders aus. Bei SPIEGEL ONLINE sind die öffentlich zugänglichen Mailadressen mit bis zu 25.000 Mails pro Einzelaccount betroffen - innerhalb von noch nicht einmal 48 Stunden.
"Das ist ein hinterhältiges Ding und eine kleine Zeitbombe", fasst Michael Dickopf vom BSI zusammen und äußert sich erleichtert darüber, dass der Wurm mit dem eingebauten Trojaner zumindest keine technischen Schäden verursache.
Doch das ist längst nicht ausgemacht: Der Sober-Wurm verfügt über eine eingebaute "Update-Automatik", die ihn zum Nachladen neuer Befehle auffordert. Auch der nächste Stichtag ist bereits bekannt, erklärt Carsten Liebl von AntiVir: "In zehn Tagen holt er sich neue Befehle!" Was er sich als nächstes aus dem Netz greift, könne man aber nicht wissen.
Update ist überfälligVerblüffend ist schon jetzt, wie effektiv der Wurm für Schäden sorgt - denn letztlich geht die Mailwelle nur von Altrechnern aus, deren Besitzer es versäumt haben, ihre Virenscanner auf dem neuesten Stand zu halten. So sieht das auch der bekannte Virenexperte Christoph Fischer: Die Verbreitung zeige, wie viele Nutzer den Wurm heruntergeladen und nicht von ihren Rechnern beseitigt hätten.
Das aber ist einfach genug: Alle großen Anbieter von Virenschutzsoftware bieten entsprechende Updates oder Entfernungs-Tools an. Problematisch ist, dass Sober - das ist seine einzige echte Schadensroutine - vorhandene Virenscanner außer Gefecht setzt. Der Selbstauskunft der Software, alles würde gecheckt und sei in Ordnung, ist also nicht zu vertrauen: Ein (im Übrigen kostenloses) Update ist fällig und sollte auf jeden Fall durchgeführt werden.
Gefährdet, von Sober befallen und kontrolliert zu werden, sind alle Rechner mit den Windows-Betriebssystemen 95, 98, ME, NT, 2000, XP sowie Windows Server 2003. Linux-, Unix-, Apple- und andere Systeme sind nicht betroffen.
Quelle :
www.spiegel.de
