Mailinglisten-Server des BSI verschickte Wurm

Durch eine Panne wurde über eine CERT-Mailingliste des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am gestrigen Montagabend der Mass-Mailing-Wurm Sober.L verschickt. Nach Angaben von BSI-Sprecher Michael Dickopf gelangte der Wurm während Wartungsarbeiten ab 18:30 Uhr auf den Server. Dieser sei eigentlich nur für den Versand von Mails konfiguriert und nicht für den Empfang von außen. Während eines kurzen Zeitraumes nahm er aber doch Mails von außen entgegen, die mit dem kurz zuvor aufgetauchten Sober.L infiziert waren. Da zu diesem Zeitpunkt für die auf dem Server mit der Mailingliste eingesetzten Virenscanner von Symantec und Trend Micro noch keine Signaturen verfügbar waren, blieb der Schädling unerkannt.

In der Folge verteilte der Server infizierte Mails an alle Abonnenten der Virinfo-Liste. Allerdings enthielten die Mails als Absender nicht die übliche Adresse cert-bund.de, sondern eine gefälschte Absenderadresse. Gegen 21 Uhr bemerkten Mitarbeiter des BSI das Problem und stellten den Server sicherheitshalber ab. Anschließend konnte das BSI aber auch keine weiteren Warnmeldungen mehr versenden. Laut Dickopf hat man deshalb per manuellem Mail-Versand vor dem Wurm gewarnt und zeitgleich eine Mitteilung auf die Startseite des BSI gestellt.

Der Mailinglisten-Server ist nach eingehender Prüfung seit dem heutigen Dienstagmorgen wieder in Betrieb. Das BSI bietet Anwendern, deren Rechner sich mit Sober.L infiziert haben, ein Wurm-Removal-Tool zum Download an, das man bei H+BEDV in Auftrag gegeben hatte. Das Tool kann man beim BSI und beim CERT-Verbund herunterladen. Auf der BSI-Seite befindet sich außerdem eine Anleitung dazu. (dab)