Mit Sober zur WM?
Wie Überschriften der Bildzeitung
Schadprogramme, die in den Nachrichtentexten und Betreffzeilen der verseuchten Mails, mit denen sie sich verbreiten, reißerisch auf einen aktuellen Anlass hinweisen, gibt es eine ganze Menge. Die Idee ist nicht neu – auch und gerade in der mittlerweile 16-köpfigen Sober-Wurmfamilie nicht. Denn gerade die Sober-Wurmprogrammierer zeichneten sich bisher durch Einfallsreichtum beim Social Engineering aus. Die Palette jeweils aktueller Themen, die die Damen und Herren Schadprogrammverbreiter zur Verbreitung ihrer Wurmkreatur verwursteten, ist vielfältig: Als der „Kannibale von Rothenburg“ Schlagzeilen machte, versprachen sie im Mailanhang ein Kannibalismusvideo. Auch die Klagen der Musikindustrie gegen Musiktauschbörsennutzer schlachteten die Wurmverbreiter gerne aus. Betreffzeile und Nachrichtentexte klangen immer reißerisch wie Überschriften in der Bildzeitung – und die Mailempfänger fallen noch immer massenhaft drauf rein.
WM-Ticket-Masche erfolgreich
„Ähnlich wie beim Tod des Papstes versuchen hier Virenautoren einen aktuellen Anlass zu missbrauchen, um ihre Schadprogramme zu verbreiten“, meint Christopher Hardy, Sicherheitsspezialist der Antivirenfirma Sophos. „Mit dem WM-Ticketverkauf scheinen sie hier ein erfolgreiches Ziel getroffen zu haben.“ Hardy hat Recht. Vor allem im deutschsprachigen Raum erweist sich die WM-Ticket-Masche als überaus erfolgreich. Die der Wurmbotschaft angehängte ZIP-Datei wird massenhaft entpackt. Die darin enthaltene Datei Winzipped-Text_Data mit der Doppelendung .txt.pif oder .txt.exe wird anschließend gedankenlos geöffnet. Dass es sich dabei um ausführbare Dateien handelt, scheint kaum jemandem aufzufallen. Unter Umständen lassen sich etliche Mailempfänger durch den Hinweis im Nachrichtentext blenden, dass die Mail auf Viren überprüft worden sei.
Der neue Sober-Wurm nur „sportlich“?
Sober hat offenbar wieder einmal eine ganze Menge vor. Denn das Schadprogramm löscht Dateien des Antiviren-Herstellers Symantec und schaltet etliche andere Antivirenprogramme sowie die eingebaute Windows-Firewall ab. Ist der PC mit Sober infiziert, arbeitet laut Bundesamt für Sicherheit in der Informationstechnik (BSI) auch die automatische Windows-Update-Funktion nicht mehr korrekt. Es ist derzeit noch nicht bekannt, ob die neue Sober-Variante über weitere Schadfunktionen verfügt. Die Behauptung, der aktuelle Sober-Wurm stehe „in der Tradition der eher ‚sportlich’ orientierten Viren“, die Spiegel online verbreitet, erscheint deshalb reichlich verfrüht, zumal sich die bisherigen Sober-Varianten u. a. dadurch auszeichneten, dass ihre Urheber (vielfach erfolgreich) versuchten, die infizierten PCs in ferngesteuerte Zombie-PCs zu verwandeln. Bevor Aussagen über das Schadpotenzial getroffen oder gar Entwarnung gegeben werden kann, sollten die exakten Analysen der Antiviren-Firmen abgewartet werden.
Server überlastet
Zumindest einen Schaden hat die neue Sober-Version, die von den verschiedenen Antivirenfirmen je nach Zählung die Endung „O“, „P“, „N“ oder „S“ bekommt, längst angerichtet. Die Server des Organisationskomitees der Fußball-Weltmeisterschaft 2006 ächzten unter der Last der vielen Hunderttausend Rückfragen von Sober-Mailempfängern, die vom Sober-Wurm automatisch generiert werden.
Zurück zur News-Übersicht