Ross und Reiter interessieren nicht

16. Mai 2005 Alfred Krüger

Ein Wurm mit Vergangenheit verbreitet Neonazi-Propaganda

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Die rechtsradikale Wurm- und Virenschreiberszene ist wieder aktiv und lässt mit Hilfe der beiden Wurmprogramme Sober.P und Sober.Q eine rechtsradikale Spammailwelle durchs deutschsprachige Internet schwappen - aus gegebenem Anlass. Die Landtagswahl in Nordrhein-Westfalen steht vor der Tür. Die braunen Spammails sollen politisch Stimmung machen - insbesondere für die NPD.

Parallelen zur groß angelegten rechtsradikalen Spamwelle des letzten Sommers liegen auf der Hand. Damals waren es die beiden Würmer Sober.G und H, mit deren Hilfe Ausländerhetze und sonstiges braunes Gedankengut unters Emailvolk gebracht wurden (Spammails aus dem rechten Virenschreibersumpf). Heute ist es Sober.P, der als WM-Ticket-Wurm in den bundesdeutschen Medien für Furore sorgte. Fragen nach Urhebern und Intentionen des WM-Wurms wurden dabei kaum gestellt.

Im Grunde war es lediglich eine Frage der Zeit, wann die nächste braune Propagandawelle via Massenmails durchs Internet schwappen würde. Es fehlten nur ein überaus erfolgreiches Wurmprogramm sowie ein aktueller Anlass. Beides liegt nun vor. Die wichtige Landtagswahl am 22. Mai in Nordrhein-Westfalen steht vor der Tür, und der überaus erfolgreiche WM-Ticket-Wurm hat mittlerweile auch sein Ziel erreicht. Tausende Windows-PCs gerade im deutschsprachigen Raum sind mit dem Fußball-Wurm Sober.P infiziert. Wie viele es genau sind, weiß niemand mit Sicherheit zu sagen. Sober.P jedenfalls leistete gute Arbeit. Er holte sich Gesellschaft von außen in seinen "Gast"-PC, lud also eine weitere Wurmvariante namens Sober.Q aus dem Netz nach und überließ seinem Wurmbruder anschließend die Arbeit. Der verwandelte den heimischen PC von den Usern unbemerkt in eine Spamschleuder, die jetzt dafür sorgt, dass Spam mit rechtsradikalen Inhalten die Emailpostfächer überrollt).

Richtige Tarnung zum richtigen Zeitpunkt

Sober.P, bei Antivirenfirma u. a. auch als Sober.N alias Sober.O alias Sober.S gelistet, wurde am 2. Mai dieses Jahres zum ersten Mal entdeckt und entwickelte sich an den darauf folgenden Tagen zu einem der erfolgreichsten Würmer der letzten Monate. Schuld war seine geschickte Tarnung, die gerade deutsche Emailuser jegliche Vorsicht im Umgang mit Emails vergessen ließ. Denn Sober.P tarnte sich als offizielle Gewinnbenachrichtigung bei der Ticketverlosung zur Fußballweltmeisterschaft 2006 in Deutschland - mit riesigem Erfolg.

Bereits kurze Zeit nach seiner Entdeckung war der Schädling laut Antivirenfirma Sophos für rund 77 Prozent des Schadprogrammaufkommens verantwortlich. Die russische Antivirenfirma Kaspersky sprach sogar von einer Epidemie. Die Urheber der Sober.P-Variante hatten also genau die richtige Tarnung gewählt, um speziell deutsche User zum Anklicken des Mailanhangs zu bewegen - und das nicht zum ersten Mal. Denn auch bei früheren Sober-Varianten waren die rechtsradikalen Schadprogrammverbreiter bereits durch geschicktes Social Engineering aufgefallen (Rechte Virenschreiberszene wieder aktiv).

Wie Überschriften in der Bildzeitung

Die Masche ist bei Sober-Würmern stets die gleiche. Nachrichtentexte und Betreffzeilen infizierter Sober-Mails waren immer schon besonders reißerisch formuliert. Sie klangen wie Überschriften in der Bildzeitung und bezogen sich oft auf einen aktuellen Anlass.

Die Themenpalette, die die rechten Kameraden zur Verbreitung ihrer Wurmkreatur verwursteten, war vielfältig: Als "der Kannibale von Rothenburg" Schlagzeilen machte, versprachen die Sober-Programmierer im Mailanhang ein Kannibalismusvideo. Auch Klagen und Ermittlungsmaßnahmen der Musikindustrie gegen deutsche Musiktauschbörsennutzer wurden gerne ausgeweidet. Ziel war es jeweils, besonders viele Windows-PCs mit dem Sober-Wurm zu infizieren, um sie anschließend für weiter gehende Zwecke zu missbrauchen.

Wer stellt Sober.P warum ins Netz?

Die WM-Ticket-Masche, mit der Sober.P durchs Internet hausieren ging, war in doppelter Hinsicht überaus erfolgreich. Sie verleitete nicht nur Hunderttausende Mailempfänger bedenkenlos den Anhang der Sober-Mail zu öffnen. Vielmehr sorgte diese Masche auch dafür, dass die eigentlichen Intentionen der Wurmprogrammierer zumindest in den Medien mit kaum einem Wort Erwähnung fanden.

Sober.P sei womöglich aus Frust über die Modalitäten beim WM-Ticketverkauf in die Umlaufbahn des Internet gesetzt wurden, hieß es zuweilen. Spiegel online behauptete zunächst sogar, Sober.P stehe "in der Tradition der eher 'sportlich' orientierten Viren". Seine Urheber hätten es lediglich darauf abgesehen, ihr Geschöpf millionenfach just for fun zu verbreiten - eine Fehleinschätzung, mit der der Spiegel nicht allein dastand. Denn zwei Fragen gingen im Medienrummel um die infizierten WM-Ticket-Mails regelmäßig unter: Wer steckt hinter Sober.P? Welches Ziel wird mit dem Wurm verfolgt?

Kein Schadprogramm materialisiert sich aus dem digitalen Nichts. Dennoch kamen Fragen nach Urheber und Intention in den bundesdeutschen Medien nicht vor. Berichtet wurde über die äußeren Erscheinungsformen des neuen Erfolgswurms. Seine technischen Details wurden ansatzweise ausgebreitet, sein Social Engineering, das so zeitnah und genau die Stimmung des deutschen Fußballvolks zu treffen schien, wurde bestaunt. Über die Urheber des Wurms und die wirklichen Absichten, die unter der reißerischen Oberfläche "WM-Ticketverlosung" schlummerten, verlor man hingegen kaum ein Wort. Auch überwog zunächst die Ansicht, Sober.P sei "harmlos" und besäße keine weiteren Schadfunktionen. Erst nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Eilmail verbreitete, Sober.P sei in der Lage, die Windows-Firewall abzuschalten und gängige Virenschutzsoftware außer Gefecht zu setzen, dämmerte es einigen offenbar, dass Sober.P vielleicht doch kein harmloser Just-for-fun-Schädling war.

Eine Botschaft vom Sober-Programmierer

Die Antivirenfirmen haben mit ihrer Informationspolitik ein Gutteil dazu beigetragen, dass die Gefährlichkeit des neuen Soberwurms anfangs unterschätzt wurde. Offenbar fiel es keinem der Antivirenspezialisten zunächst auf, dass Sober.P über eine Funktion verfügt, die den Wurm in die Lage versetzt, weitere Schadprogramme aus dem Internet nachzuladen.

Erst durch diese Funktion wurde die neuerliche Spammailwelle aus der rechtsradikalen Ecke ausgelöst. Vorher lud Sober.P seine Nachfolgevariante Sober.Q aus dem Netz in die infizierten PCs und baute ein weit verzweigtes Bot-Netz fernsteuerbarer Zombie-PCs auf, die nur auf die Initialzündung zur Verbreitung der rechtsradikalen Propagandamails warteten. Wie etliche seiner Vorgänger enthält übrigens auch Sober.Q in seinem Quellcode eine deutschsprachige Botschaft. Darin behauptet der Sober-Programmierer, er sei alles andere als ein Spammer, er könnte aber durchaus einer werden.

Der Schnellere darf taufen

Die Verwirrung um die neuesten Sober-Varianten wurde durch eine völlig uneinheitliche Namensgebung komplettiert. Je nach Antivirenfirma bekam die P-Variante des Soberwurms u. a. die Buchstaben O, P, N oder S zugeordnet. Ursache für diese babylonische Namensverwirrung ist, dass sich die Antivirenfirmen bis heute nicht auf eine einheitliche Nomenklatur bzw. ein einheitliches Verfahren zur Namensgebung geeinigt haben. Vielmehr gilt das Prinzip: Der Schnellere darf taufen.

Diejenige Antivirenfirma, die ein neues Schadprogramm zuerst entdeckt, hat das Recht zur Namensgebung. Offizielle Regeln, wie man neue Schadprogramme zu benennen hat, existieren nicht. Allgemein üblich ist bisher lediglich, dass ein neuer Virus nicht nach seinem Entdecker oder seiner Entdeckerfirma benannt wird. Verpönt ist es auch, einem Virus genau den Namen zu geben, den der Virenschreiber möglicherweise gerne hätte. Einen Anti-Gates-Wurm wird es also niemals geben.

Auch lassen sich bei etlichen Antivirenfirmen bereits Ansätze zu einer Standardisierung in der Namensgebung entdecken. Der volle Name des Mydoom-Wurms lautete zum Beispiel bei McAfee "W32/Mydoom@MM". "W32" weist darauf hin, welches Betriebssystem betroffen ist (Windows, 32 Bit), und der Anhang nach dem "@"-Zeichen erklärt, wie sich der Wurm verbreitet, in diesem Fall per "MM", per mass mail oder Massen-Mail. Weitere Standardisierungen gibt es derzeit nicht.

Keine Firma verrät ihre Betriebsgeheimnisse

Die Hersteller von Virenschutzsoftware geloben Besserung. Man werde eine Allianz bilden, eine einheitliche Nomenklatur für Viren, Würmer und Trojaner entwickeln und im Interesse des PC-Nutzers das Namenschaos beseitigen. Insider bleiben skeptisch. Voraussetzung für eine einheitliche Namensgebung sei, dass die Firmen ihre Informationen über neue Schadprogramme sofort bei der Entdeckung eines Schädlings untereinander austauschen. Das aber werden sie kaum tun.

Herstellung und Verkauf von Virenschutzsoftware sind ein Milliardengeschäft. Offenheit verdirbt dies Geschäft. Bis man mit neuen Virensignaturen und Removal-Tools an die Öffentlichkeit treten und die eigenen Kunden versorgen kann, sind die neu entdeckten Viren, Würmer und Trojaner streng gehütetes Betriebsgeheimnis. Und welche Firma verrät ihre innigsten Betriebsgeheimnisse schon freiwillig der Konkurrenz?