Das Sober-Wurm-Debakel
Anspruch und Wirklichkeit
Nicht jeder User kennt den Unterschied zwischen einem Virus, einem Wurm und einem Trojanischen Pferd. Muss er auch nicht. Dafür gibt es Spezialisten bei den Antivirenfirmen, die Viren, Würmer und Trojaner fein säuberlich auseinander halten und ihre Kunden zweifelsfrei darüber informieren können, vor welchen wie gefährlichen Schadprogrammen sie mit ihrer Software schützen. Das jedenfalls behaupten diese Firmen gern. Die Wirklichkeit sieht offenbar ein wenig anders aus. Sie zeigt, dass sich die meisten Antivirenfirmen in Sachen Sober-Wurm als reichlich unzuverlässige Informationsquellen erwiesen haben.
Ein Wurm mit Tradition
Die Geschichte begann am 2. Mai. An diesem Tag wurde ein neues Schadprogramm in der freien Wildbahn des Internet gesichtet. Gleich mehrere Antivirenfirmen erkannten in ihm einen Schädling, der aus der ebenso bekannten wie berüchtigten Sober-Wurmfamilie stammte. Die G- und H-Varianten dieses Wurms hatten im Sommer letzten Jahres eine rechtsradikale Spamlawine losgetreten. Per Emailanhang war zunächst Sober.G verbreitet worden. Auf Grund geschickt formulierter Betreff- und Nachrichtentexte, wurden viele Emailnutzer dazu verleitet, die verseuchten Dateianhänge anzuklicken und den Wurm zu aktivieren. Sober.G lud anschließend ein weiteres Schadprogramm nach, das damals auf den Namen Sober.H getauft worden war. Sober.H deaktivierte die G-Variante und verwandelte die befallenen Windows-PCs in ferngesteuerte Spamschleudern, über die der braune Spammüll millionenfach verbreitet wurde.
Schlampige Arbeit?
Bei den Antivirenspezialisten hätten also die Alarmglocken läuten müssen, als sie am 2. Mai den neuen Sober-Wurm entdeckten. Der Wurm wurde als WM-Ticket-Wurm bekannt, weil er seinen Empfängern in den Betreffzeilen und Nachrichtentexten der verseuchten Emails vorgaukelte, sie hätten ein Ticket für die Fußballweltmeisterschaft 2006 ergattert. Alarmglocken läuteten aber nirgendwo. Offenbar machten sich die meisten Antivirenfirmen nicht die Mühe, den neu entdeckten Wurm intensiv auf Schadfunktionen zu überprüfen. Er sei harmlos, hieß es zunächst. Dabei wurde übersehen, dass der neue Sober-Wurm die Windows-XP-eigene Firewall abschaltete, einige Antivirenprogramme deaktivierte und die automatische Windows-Update-Funktion außer Betrieb setzte. Auch dass er sich so fest im Betriebssystem einnistete, dass er bei laufendem Betrieb nicht per Antivirensoftware zu entfernen ist, blieb den Spezialisten offenbar verborgen. Sie übersahen außerdem, dass Sober.P (so soll der Wurm hier genannt werden) in der Lage war, Schadprogramme aus dem Netz nachzuladen. Erst nachdem es längst zu spät war und der Wurm damit beschäftigt war, ein weiteres Schadprogramm namens Sober.Q von diversen Servern nachzuladen, sickerten nach und nach weitere Informationen an die Öffentlichkeit.
Der Wurm, der ein Trojaner ist
Das von Sober.P nachgeladene Schadprogramm verwandelte die infizierten Systeme in fernsteuerbare Spamschleudern, die die Emailpostfächer speziell im deutschsprachigen Raum mit rechtsradikalen Massenmails verstopften und derzeit immer noch zumüllen. Mittlerweile haben die meisten Antivirenfirmen ihre Informationen über die beiden Sober-Schadprogramme ergänzt. Die verwirrende Namensvielfalt ist geblieben. Der Nutzer ist der Dumme. Er bleibt auf Vermutungen angewiesen, wenn er herausfinden will, ob ihn sein teures Antivirenprogramm auch vor den beiden neuen Sober-Schädlingen ausreichend schützt. Damit nicht genug: Obwohl der letzte - nachgeladene - Spross aus der Sober-Familie nicht die Fähigkeit besitzt, sich „aus eigener Kraft“ weiter zu verbreiten, wird er von etlichen Antivirenfirmen immer noch in die Schublade „Wurmprogramm“ gestopft. Es wird schon keiner merken…
Zurück zur News-Übersicht
