Mail-Wurm Sobig.F versucht nachzuladen [Update]

Die Antiviren-Spezialisten von F-Secure warnen davor, dass der massiv verbreitete Sobig.F-Wurm ab dem heutigen Freitagabend möglicherweise neue Komponenten von Rechnern im Netz bezieht. Dadurch könnte der Wurm noch weiteren Schaden verursachen.

Andere Hersteller von Antiviren-Software bestätigen diese Informationen. So gibt auch Symantec an, dass Sobig.F in der Lage ist, beliebigen Programmcode von verschiedenen fest durch verschlüsselte Angaben im Code verankerten "Master-Servern" zu laden und auszuführen. Diese Funktion ließe sich durch den Wurm beispielsweise verwenden, um sich selbst zu aktualisieren oder gar, um Schadroutinen nachzuladen.

Sobig.F kommuniziert mit NTP-Servern, um sich die aktuelle UTC-Zeit zu holen. Nach Angaben von Symantec soll der Schädling von Freitag bis Sonntag jeweils zwischen 19 und 22 Uhr UTC (zwischen 21 und 24 Uhr deutscher Sommerzeit) versuchen, mit den Master-Servern Kontakt aufzunehmen. Möglicherweise könnte die Gefahr durch Sobig.F also ab dem heutigen Freitagabend, 21 Uhr mitteleuropäischer Zeit, neue Dimensionen annehmen. Ob Sobig tatsächlich zum angegebenen Zeitpunkt neue Komponenten lädt und welche Funktion diese ausführen sollen, ist zum gegenwärtigen Zeitpunkt noch unklar.

Hinweise zum Schutz vor Viren und Würmern, auch vor Sobig.F, bieten die Antiviren-Seiten von heise Security: Rechner, die von dem Wurm nicht befallen sind, können natürlich auch keine zusätzlichen Schadroutinen ausführen ...

Update: Nach Angaben der Antiviren-Firmen ist es mittlerweile gelungen, die verschlüsselte Liste der Master-Server aus dem Wurmcode zu extrahieren:

12.158.102.205 12.232.104.221 24.197.143.132 24.202.91.43 24.206.75.137 24.210.182.156 24.33.66.38 61.38.187.59 63.250.82.87 65.177.240.194 65.92.186.145 65.92.80.218 65.93.81.59 65.95.193.138 66.131.207.81 67.73.21.6 67.9.241.67 68.38.159.161 68.50.208.96 218.147.164.29

Administratoren sollten diese IP-Adressen vorsorglich auf den Firewalls blockieren, damit im Infektionsfall kein Dateitransfer mit diesen Servern stattfinden kann.

Laut F-Secure handelt es sich bei diesen 20 Systemen offenbar um ständig ans Internet angebundene DSL-Verbindungen. Nun arbeiten die Antiviren-Unternehmen in Koordination mit verschiedenen CERTs mit Hochdruck daran, diese Master-Server vom Netz zu nehmen. Dies wird nach Aussagen von F-Secure allerdings kein leichtes Unterfangen: "Unglücklicherweise haben die Wurm-Autoren diesen Schritt vorausgesehen", sagt Mikko Hypponen von F-Secure. "Diese 20 Master-Rechner sind alle bei unterschiedlichen Providern angebunden, was es wahrscheinlich macht, dass man nicht alle Server bis 21.00 Uhr mitteleuropäischer Zeit abklemmen kann. Selbst wenn nur ein Server erreichbar bleiben sollte, genügt das, um den Wurm zu versorgen."

Um die Kommunikation mit den Masterservern zu unterbinden, empfiehlt Symantec zusätzlich, die Ports 991 bis 999 für eingehenden und den Port 8998 für ausgehenden UDP-Verkehr zu sperren. (pab)