Rechte Virenschreiberszene wieder aktiv

Ist Emailwurm Sober.I der Vorbote einer neuen rechtsradikalen Propagandawelle im Netz?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem alten Bekannten: Emailwurm Sober ist nach fünfmonatiger Ruhepause wieder unterwegs, diesmal in der neuen Variante Sober.I. Seine Wurmgeschwister Sober.G und Sober.H waren für die Flut rechtsradikaler Spammails verantwortlich, die im Juni dieses Jahres die Emailpostfächer mit braunem Propagandamüll verstopften (Spammails aus dem rechten Virenschreibersumpf).

Infizierte Sober-Mails zeichnen sich regelmäßig durch geschicktes, zum Teil äußerst aggressives "Social Engineering" aus. Die Autoren der neuen Sober-Variante haben ihren Mails diesmal ein professionelles Aussehen verpasst. Mails mit Sober.I im Anhang kommen u. a. im Gewand einer Mailprovider-Fehlermeldung daher, die nicht nur unbedarfte User zum Klicken auf den Anhang animieren könnte.

Welchem Zweck die neue Sober-Variante dienen soll, ist noch nicht klar. Doch deutet einiges darauf hin, dass auch die Programmierer dieser Variante dem Dunstkreis der rechtsradikalen Virenschreiber zuzurechnen sind. "Odin-Anon" lässt schön grüßen.

Pornobilder sind out

Geschicktes "Social Engineering" ist das A und O der Schadprogrammverbreitung via Email. Denn Viren, Würmer und Trojaner, die nicht in der Lage sind, Windows-Sicherheitslücken selbstständig zu nutzen, werden erst aktiv, wenn sie der User per Mausklick aktiviert.

Der Begriff Social Engineering wird in diesem Zusammenhang für alle nichttechnischen Tricks verwendet, mit denen vertrauliche Informationen wie beispielsweise Passwörter ausgespäht oder User dazu bewegt werden sollen, Schadprogramme, die sie per Email erhalten, anzuklicken und zu aktivieren. Zu diesem Zweck werden den Empfängern von Viren- oder Wurmmails im Mailanhang beispielsweise Nacktbilder von Prominenten oder Pornobilder versprochen. Diese Art des Social Engineering in Viren- und Wurmmails hat sich mittlerweile abgenutzt. Selbst der unbedarfte Email-Nutzer fällt auf solche Billigtricks kaum noch herein. Deshalb sind die Autoren von Schadprogrammen ständig auf der Suche nach neuen Tricks, um das Klicken auf den Dateianhang einer Mail interessant zu machen und dadurch für die rasche Verbreitung ihrer Schadprogramme zu sorgen.

Eindeutig Zweideutiges

Der erste Wurmsprössling aus der berüchtigten Sober-Familie tauchte Ende Oktober letzten Jahres auf und machte schon damals von sich reden, weil sich seine Urheber in den Betreffzeilen und Nachrichtentexten der infizierten Mails geschickt der Methoden des "Social Engineering" bedienten. Die infizierten Mails sollten authentisch wirken. Deshalb waren Betreffzeile, Nachrichtentext und sogar der Name der angehängten Wurmdatei aufeinander abgestimmt. Sober.A kam beispielsweise mit dem Betreff: "Ich habe Ihre Mail bekommen" ins Haus, sein Nachrichtentext lautete passenderweise: "Ich habe jetzt schon zum 11 mal, eine Mail die an Sie Adressiert ist bekommen! Ähmm... *hust* der Anhang oder besser gesagt, die Dokumentation muss Ihnen aber nicht Peinlich sein ! *grins*". Angehängt war schließlich eine Datei mit dem eindeutig zweideutigen Namen "Hengst.pif".

Auch die anderen Wurmschädlinge aus der Sober-Familie zeichneten sich durch geschickt formulierte Betreffzeilen und Nachrichtentexte aus. Sober.D etwa tarnte sich im März dieses Jahres als offizielle Post von Microsoft und behauptete, im Dateianhang ein äußerst wichtiges Windows-Update zu enthalten, dessen Installation vor den damals grassierenden MyDoom-Würmern schützen solle. Eine weitere Sober-Variante lockte im Dezember letzten Jahres mit einem Kannibalismus-Video. Die Betreffzeile dieser B-Variante lautete reißerisch: "Fwd: Der Kannibale von Rotenburg". Im Nachrichtentext wurde dem Mailempfänger eine Webseite angekündigt, auf der man sich ein authentisches Kannibalismusvideo anschauen könne. Dazu müsse man allerdings zunächst seine Volljährigkeit per Klick auf das beigefügte Attachement verifizieren.

Auch Sober.C, der nur ein paar Tage nach seinem B-Bruder auf den Markt für Viren, Würmer und Trojaner geworfen wurde, wusste, wie man User zum Klicken verleitet. Mit Betreffzeilen wie "Sie sind ein Raubkopierer" oder "Ermittlungsverfahren wurde eingeleitet" schlachtete die C-Variante damals die Diskussion über Musik- und Filmtauschbörsen aus. Und Sober.F gaukelte den Mailempfängern im April dieses Jahres u. a. vor, die Mail, in dessen Anhang sich der Wurm befand, sei virengeprüft und könne deshalb problemlos geöffnet werden.

Sober spricht deutsch

Neben dem reißerischen Social Engineering fallen die Sober-Würmer dadurch auf, dass sie zweisprachig Englisch und Deutsch daherkommen. Welche Sprache in einer Mail verwendet wird, entscheidet das Wurmprogramm anhand des Domain-Suffixes des Empfängers. Adressaten mit dem Suffix .de, .at, .ch, .li, .nl und .be werden von den Sober-Würmern in der Regel mit deutschen Betreffzeilen und Nachrichtentexten beglückt. Der Rest der Welt bekommt die englische Variante präsentiert.

Wer die Autoren des Sober-Wurms sind, ist nicht bekannt. Es deutet jedoch einiges darauf hin, dass sie sich im Dunstkreis der rechtsradikalen Wurm- und Virenschreiberszene bewegen. Im Juni dieses Jahres wurden die elektronischen Briefkästen weltweit mit rechtsradikalen Propagandamails zugemüllt. Damals fanden die Antivirenfirmen F-Secure und Sophos übereinstimmend heraus, dass die braunen Spammails mit Hilfe des Emailwurms Sober.G und seines Nachfolgers Sober.H verbreitet wurden. Der rechte Spam wurde von PCs aus verschickt, die beide Emailwürmer zu ferngesteuerten Spamschleudern umfunktioniert hatten. Sober.G öffnete im System des Users Hintertüren und war in der Lage, Dateien nachzuladen. Davon machte der Schädling auch rege Gebrauch. Er lud die Datei doerkggg.exe aus dem Netz nach, die das Wurmprogramm Sober.H enthielt.

Einmal nachgeladen wurde Sober.H anschließend von seinem Wurmbruder aktiviert. Der aktive Sober.H sendete nun an seinen Vorgänger sowie an sämtliche andere im System möglicherweise aktive Sober-Versionen das Signal, sich selbst zu deaktivieren. Nach diesen Vorarbeiten begann Sober.H mit seiner eigentlichen Arbeit: der Verbreitung rechtsradikaler, antisemitischer und ausländerfeindlicher Hass-Botschaften an alle Emailadressen, derer er im infizierten PC habhaft werden konnte. .

Botschaften von Odin-Anon

Sober.G installierte damals in befallenen Rechnern u. a. eine Datei namens "NoSpam.readme", die eine Botschaft des Wurmprogrammierers an die "lieben Antivirenhersteller" enthielt. Darin outete sich der Autor als älteres Semester (über 30), der kein "normaler" Hacker sei und seine "eroberten Rechner" auch nicht an Spammer verkaufe. Unterschrieben war diese Nachricht mit "Odin alias Anon". Derselbe Name war bereits in einer Nachrichtentextvariante von Sober.A aufgetaucht .

Der Name "Odin" ist in der rechtsradikalen Szene als Pseudonym nicht unüblich. Wer sich einen solchen Nickname zulegt, tut dies mit Bedacht. Auch der neue Schädling Sober.I bedient sich dieses Namens. Er installiert im Windows-Verzeichnis eine inhaltsleere Datei. Ihr Name "Odin-Anon.Ger".

Derzeit ist noch ungeklärt, welchem Ziel die neue Sober-Variante dienen soll. Dass sie nur "just for fun" oder zu Testzwecken auf die Reise durchs Netz geschickt wurde, ist allerdings sehr unwahrscheinlich. Denn die bisherigen Sober-Varianten haben längst gezeigt, dass ihre Schad- und Verbreitungsroutinen problemlos funktionieren. Ein Test ist also nicht mehr nötig.

Deshalb ist davon auszugehen, dass Sober.I nur der Vorbote weiterer Aktionen ist, zumal der Schädling wie sein Vorgänger Sober.G in der Lage ist, bis zu fünfzig Tage nach seinem "Release" Dateien aus dem Netz nachzuladen, im Windows-Systemverzeichnis unter dem Dateinamen "qwwintxt.exe" abzuspeichern und auf Kommando auszuführen.