Sober.Z geht in den Update-Zyklus
Der Sober.Z-Wurm – auch als BKA-Wurm bekannt – soll nach Analysen der Antivirenhersteller ab morgen, dem 6. Januar, weiteren Schadcode nachladen. Eine Chance für Administratoren, infizierte Rechner zu finden.
Der weit verbreitete Sober.Z-Wurm, der auch unter dem Namen BKA-Wurm bekannt wurde, soll nach Analysen der Antivirenhersteller ab dem morgigen Freitag, dem 6. Januar, versuchen, weiteren Schadcode aus dem Netz nachzuladen. Schon ältere Sober-Varianten haben Online-Updates durchgeführt: Der "WM-Ticket-Wurm" Sober.O etwa versendete nach seiner automatischen Aktualisierung kurz vor der Landtagswahl in Nordrhein-Westfalen im Mai vergangenen Jahres Nazi-Spam.
Welche Schadfunktionen das Sober.Z-Update mit sich bringt, ist derzeit noch unbekannt. Es könnte wieder zu Massenmails führen oder aber einen neuen Wurm beispielsweise mit Hintertür-Funktionen nachladen. Bei den E-Mails, die ab morgen in die Postfächer eintrudeln, ist daher besondere Aufmerksamkeit geboten.
Gegenüber US-Medien äußerten sich jedoch Vertreter aus der Antivirenindustrie, dass die Wahrscheinlichkeit sehr gering sei, dass das Nachladen Erfolg haben werde. So wird Mikko Hyppönen, Direktor von F-Secure, zitiert: "Die Attacke könnte gänzlich ausfallen. Da jeder um den Angriff weiß, könnte der Virenautor in Deckung gehen und zu einem späteren Zeitpunkt zuschlagen." Die betroffenen Internet-Provider könnten etwa Uploads zu den bekannten URLs blockieren.
Netzwerkadministratoren sowie Anwender, die über einen Router online gehen, können als präventive Maßnahme die bisher erkannten URLs für den Zugriff sperren. Sober.Z nutzt laut F-Secures Blog-Eintrag folgende Adressen zum Download weiteren Schadcodes:
people.freenet.de/zmnjgmomgbdz/
people.freenet.de/smtmeihf/
people.freenet.de/qisezhin/
people.freenet.de/fseqepagqfphv/
people.freenet.de/urfiqileuq/
people.freenet.de/wjpropqmlpohj/
people.freenet.de/mclvompycem/
scifi.pages.at/zzzvmkituktgr/
home.pages.at/npgwtjgxwthx/
free.pages.at/emcndvwoemn/
home.arcor.de/ocllceclbhs/
home.arcor.de/dixqshv/
home.arcor.de/srvziadzvzr/
home.arcor.de/nhirmvtg/
home.arcor.de/jmqnqgijmng/
In seltenen Fällen soll der Algorithmus zur Adressberechnung noch weitere URLs liefern:
people.freenet.de/mookflolfctm/
people.freenet.de/aohobygi/
people.freenet.de/wlpgskmv/
people.freenet.de/svclxatmlhavj/
people.freenet.de/jpjpoptwql/
people.freenet.de/iohgdhkzfhdzo/
people.freenet.de/eetbuviaebe/
scifi.pages.at/vvvjkhmbgnbbw/
home.pages.at/twfofrfzlugq/
free.pages.at/sfhfksjzsfu/
home.arcor.de/qlqqlbojvii/
home.arcor.de/fulmxct/
home.arcor.de/fowclxccdxn/
home.arcor.de/lnzzlnbk/
home.arcor.de/rprpgbnrppb/
people.freenet.de/iufilfwulmfi/
people.freenet.de/xbqyosoe/
people.freenet.de/nkxlvcob/
people.freenet.de/svclxatmlhavj/
people.freenet.de/bnymomspyo/
people.freenet.de/jbevgezfmegwy/
people.freenet.de/gdvsotuqwsg/
scifi.pages.at/eveocczmthmmq/
home.pages.at/doarauzeraqf/
free.pages.at/hsdszhmoshh/
home.arcor.de/dyddznydqir/
home.arcor.de/iyxegtd/
home.arcor.de/oakmanympnw/
home.arcor.de/riggiymd/
home.arcor.de/jhjhgquqssq/
Durch das Protokollieren von Zugriffsversuchen auf diese Internet-Adressen könnte es möglich sein, infizierte Rechner im Netzwerk zu identifizieren, um sie zu entseuchen oder besser gleich neu aufzusetzen.
Siehe dazu auch: (dmk)
- Vermeintliche Wurm-Mail der Polizei führt zu Selbstanzeige auf heise Security
- "BKA-Wurm" Sober.Z lädt im Januar nach auf heise Security
- Das BSI warnt: "Computerwurm Sober verbreitet sich rasant weiter" auf heise Security
- Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts auf heise Security
