Emailschädling Sober.I hat es in nur knapp drei Wochen geschafft, die Emailpostfächer rund um den Globus massiv zu belagern. Der Wurm aus deutschen Landen mit vermutlich rechtsradikalem Entstehungshintergrund zählt zu den „erfolgreichsten“ Schadprogrammen, die derzeit durchs Netz geistern. Auf der monatlichen Virenhitliste der britischen Sicherheitsfirma Sophos belegte er im November bereits Platz zwei. 20,4 Prozent aller verseuchten Emails waren mit dem jüngsten Spross aus der Sober-Familie infiziert. Hauptschädling mit einem Anteil von 24,2 Prozent ist laut Sophos immer noch Netsky.P, einer der Veteranen unter den gegenwärtig kursierenden Schadprogrammen.
Des Pudels Kern – ein Schadprogramm
Emailwurm Sober.I tauchte erstmalig am 19. November auf. Wie alle anderen Schadprogramme aus der Sober-Familie zeichnet er sich durch ein besonders geschicktes Social Engineering aus. Seine Betreff- und Nachrichtentexte sind erstens zweisprachig, je nach Domainsuffix des Adressaten entweder Deutsch oder Englisch, und vermitteln dem Mailempfänger zweitens, dass es sich bei der infizierten Mail um eine offizielle Nachricht eines Mailproviders oder um eine Sicherheitsmeldung handelt. Neu sind solche Tricks zwar nicht, dafür aber immer noch sehr effektiv. Denn auch vorsichtige User scheinen auf derartige Betreffzeilen und Nachrichtentexte gleich reihenweise hereinzufallen und klicken den Dateianhang an. „Des Pudels Kern entpuppt sich schnell“, heißt es bei Sophos, „denn statt mehr Informationen zu bekommen, gibt es für ungeschützte Anwender einen verseuchten Rechner.“
Sober.I stammt aus „der rechten Ecke“
Ebenso wie seine Vorgänger stammt auch Sober.I vermutlich aus der rechtsradikalen Wurm- und Virenschreiberszene. Vorgänger Sober.G und Sober.H hatten im Juni dieses Jahres in einer gemeinschaftlichen Aktion die elektronischen Briefkästen mit rechtsradikalen Propagandamails zugemüllt. Diese Mails wurden laut Antivirenfirmen F-Secure und Sophos von PCs aus verschickt, die die beiden Sober-Würmer zu ferngesteuerten Spamschleudern umfunktioniert hatten. Zuerst infizierte Sober.G per Emailanhang die PCs, öffnete Systemhintertüren und lud anschließend Sober.H nach. Letzterer hatte u. a. die Aufgabe, rechtsradikale, antisemitische und ausländerfeindliche Hassmails an alle Emailadressen zu verschicken, die er in infizierten Systemen finden konnte. In diesen Mails gab es regelmäßig auch „Kommentare“ des Sober-Autoren, der sich im Quelltext einer Sober-Variante bzw. in einer per Wurm installierten Textbotschaft „an die lieben Antivirenhersteller“ „Odin alias Anon“ nannte. Eine leere Datei mit dem Namen „Odin-Anon.ger“ wird auch von Sober.I in infizierten Systemen installiert. Virenexperten beispielsweise der Antivirenfirma McAfee sehen solche von den Wurmautoren bewusst gesetzten „Duftmarken“ als Indiz dafür an, dass Sober.I wie seine Vorgänger aus der rechten Ecke stammt.
Zunahme der Wurm- und Virenaktivitäten
Die regelmäßig von Sophos veröffentlichten monatlichen Ranglisten und Virenreports basieren auf den Ergebnissen, die die Sicherheitsfirma von ihren weltweiten Beobachtungsstationen bezieht. Auf dieser Basis konnte die Firma für den Monat November wieder eine leichte Zunahme der weltweiten Wurm- und Virenaktivitäten registrieren. 5,6 Prozent aller versendeten Mails waren mit Schadprogrammen verseucht, ein Prozent mehr als noch im Oktober registriert wurden. Gleichzeitig wurden 1.379 neue Viren identifiziert. Die weitaus überwiegende Zahl der Schadprogramme hat Windows-Rechner im Visier. Windows-Nutzer können sich deshalb nur dann wenigstens halbwegs vor Infektionen schützen, wenn sie ihre Virensoftware immer auf dem neuesten Stand halten und Dateianhänge auch von bekannten Absendern niemals bedenkenlos öffnen.
Zurück zur News-Übersicht