Attacke von Mail-Wurm Sobig.F läuft anscheinend ins Leere
Das FBI geht ersten Hinweisen auf die Urheberschaft des Schädlings nach; eine weitere Wurmwelle am Samstag ist eher unwahrscheinlich.
Die Versuche des Mail-Wurms Sobig.F am gestrigen Freitagabend, von infizierten Rechnern aus Verbindungen zu Servern im Internet herzustellen und möglicherweise neue Schadfunktionen nachzuladen, liefen offensichtlich ins Leere. Antiviren-Spezialisten, unter anderem von F-Secure, Network Associates oder Symantec, konnten die verschlüsselte Liste der Master-Server, die im Code angegeben war, knacken und die entsprechenden Maschinen im Netz überwachen beziehungsweise weitgehend blockieren. Nach Angaben von F-Secure war während der Zeit, zu der Sobig.F aktiv wurde (19 bis 22 Uhr UTC am Freitagabend) nur noch ein Server online, der allerdings durch extrem hohen Netzwerkverkehr praktisch lahmgelegt war.
Für den heutigen Samstagabend öffnet sich wieder das gleiche Zeitfenster von 19 bis 22 Uhr UTC (21 bis 24 Uhr mitteleuropäischer Sommernzeit), in dem vom Wurm befallene Rechner versuchen, Kontakt zu den Servern aufzunehmen. Da diese mittlerweile aber bekannt sind und weitgehend unter Kontrolle zu sein scheinen, dürfte sich die weitere Gefahr einer neuen Schädlingswelle in Grenzen halten. Bislang ist allerdings immer noch nicht bekannt, welches Programm Sobig.F von den Servern nachladen sollte. Der zuletzt noch verfügbare Server leitete laut Symantec lediglich auf eine Porno-Site weiter, ohne dass dort erkennbar war, dass irgendeine besondere Software zu den vom Wurm befallenen Rechnern übertragen werden sollte.
Mittlerweile soll angeblich das FBI erste konkrete Hinweise auf den Ursprung des Wurms, beziehungsweise auf seine Einspeisung ins Netz erhalten haben. Der Virenschreiber soll mittels eines Account beim Provider und Newsgroup-Dienstleister Easynews Sobig.F über Usenet-Postings in Umlauf gebracht haben. Die Firma sicherte nach US-Medienberichten zu, mit den Ermittlungsbehörden zusammen zu arbeiten. Der Account bei Easynews sei mit einer gestohlenen Kreditkarte nur zu dem Zweck eröffnet worden, den Wurm freizusetzen, erklärte die Firma.
Berichten, nach denen "Millionen von Rechnern" von Sobig.F befallen seien, widersprachen die Antiviren-Firmen allerdings. Jedoch habe der Wurm bei seiner Verbreitung seit Dienstag einen neuen Geschwindigkeitsrekord aufgestellt, Kapersky Labs sprachen von der "größten Epidemie" aller Zeiten. Auch die New York Times soll möglicherweise durch Befall mit dem Wurm dazu gezwungen worden sein, ihre Rechner herunterzufahren. Beim Nürnberger Steuerberater-Softwarehaus und -Rechenzentrum Datev hieß es, allein am Donnerstag habe man 2,4 Millionen Versuche gezählt, Sobig.F in das interne Netz einzuschleusen. Network Associates schätzt die Zahl der eigentlich befallenen Rechner allerdings lediglich auf 100.000 bis 150.000 weltweit. Millionen von Usern und unzählige Firmen, deren Rechner nicht infiziert waren, waren aber trotzdem von dem Wurmbefall betroffen: Ihr Mail-Verkehr wurde durch die massenhaften Viren-Mails, durch die teilweise ebenfalls massenhaft eintreffenden Viren-Warnungen der E-Mail-Scanner und die "Nicht-Erreichbar"-Antworten auf Mails mit gefälschten Absender-Adressen stark in Mitleidenschaft gezogen. Gelangte ein User auf die Liste mit den Zieladressen eines sehr gut ans Internet angebundenen, infizierten Rechners, dann hatte er ohne Filter auf dem Mail-Server das Nachsehen: Er wurde allein von möglicherweise nur einem infizierten Rechner mit Hunderten oder Tausenden von Mails mit in der Regel unterschiedlichen Absenderadressen versorgt. Der Eindruck einer Lawine ließ sich da nur schwer vermeiden.
Hinweise zum Schutz vor Viren und Würmern, auch vor Sobig.F, bieten die Antiviren-Seiten von heise Security. Zum Wurm Sobig.F selbst siehe auch: (jk)
