Rechtsradikale Propagandamails kursieren seit Donnerstag früh, 2 Uhr, zu Tausenden im Netz. Es handelt sich um eine gezielte, wohlorganisierte Spamaktion. Viele Indizien deuten darauf hin, dass die Mails von PCs verschickt werden, die mit dem Email-Wurm Sober.G infiziert sind. Mittlerweile ermittelt auch das LKA Mecklenburg-Vorpommern in dieser Angelegenheit. Denn etliche Mails sollen auch von Servern der Uni Rostock stammen.
Gezielte Spamaktion
Die Inhalte, die per rechtem Spammüll verbreitet werden sollen, sind eindeutig. Von Ausländerfeindlichkeit über Antisemitismus bis hin zu Anti-Europa-Propaganda wird das bekannte, rechtsradikale Themenspektrum abgedeckt. Links zu rechtslastigen Onlinepublikationen runden das düstere Bild ab. Die Mails kommen zwar mit gefälschten Absenderangaben in die heimischen Emailpostfächer und wollen dadurch suggerieren, dass es sich um Einzelmails von seriösen Absendern handelt. Ihr Inhalt, aber auch ihr Verbreitungsweg sprechen eine andere Sprache. Bei diesen Mails handelt es sich eindeutig um eine gezielte Spamaktion, um rechtsradikale Inhalte unter das deutsche Email-Volk zu bringen.
Das LKA Mecklenburg-Vorpommern ermittelt
Laut Spiegel online sollen etliche der Mails, die seit gestern früh die Emailpostfächer verstopfen, von Servern der Uni Rostock verschickt worden sein. Die identifizierte IP-Nummer des Versenders soll zum Account eines dortigen Studenten gehören. Der Account wurde mittlerweile gesperrt, der Rechner vorsorglich vom Netz genommen und das LKA Mecklenburg-Vorpommern eingeschaltet. Doch die Spammails kursieren mit ihrer braunen Botschaft weiter durchs Netz. Sie werden offenbar von Rechnern verbreitet, die mit dem Email-Wurm Sober.G infiziert sind und nun als ferngesteuerte Emailversender benutzt werden, ohne dass der unbedarfte User etwas davon ahnt.
Sober.G öffnet PCs für braune Propaganda
Vieles deutet nach jetzigem Erkenntnisstand darauf hin, dass eine enge Verbindung zwischen den rechten Spamversendern und den Programmierern des Sober-Wurms besteht. Erstens verbreitet sich der Sober-G-Wurm seit Beginn der Spammailaktion kaum noch im Netz. Seine SMTP-Maschine, eigentlich dafür bestimmt, das Schadprogramm an alle Emailadresse weiterzuverbreiten, die in einem infizierten PC zu finden sind, scheint derzeit vollauf damit beschäftigt zu sein, die Spammails zu verschicken. Sober.G besitzt nämlich die Eigenschaft, Systemhintertüren zu öffnen und auf Befehle von außen zu warten. Der Wurm kann Schadprogramme nachladen, durch die eine Fremdsteuerung des befallenen PCs möglich wird. Die Wurmprogrammierer können also volle Kontrolle über den infizierten PC erlangen und ihn für ihre Zwecke nutzen – wie sie es vermutlich jetzt auch getan haben.
„Odin“ lässt grüßen
Wenn sich Sober.G auf einem System einnistet, installiert der Wurm eine Readme-Datei, in der der Wurmprogrammierer erklärt, er sei „einige Jahre über 30“, kein Hacker und verkaufe seine „eroberten Rechner“ auch nicht an kommerzielle Spammer. Er nennt sich selbst „Odin alias Anon“ – und genau dieses in rechtsradikalen Kreisen äußerst beliebte „Odin“-Pseudonym taucht auch sonst immer wieder im Quellcode der verschiedenen Sober-Varianten auf. Gleichzeitig sind etliche der jetzt kursierenden Spammails mit Kommentaren des „Sober Autors“ versehen. Auch das lässt auf eine enge Verzahnung zwischen den braunen Propagandamails und den Programmierern des Sober-Wurms schließen.
Zurück zur News-Übersicht