Neonazi-Wurm Sober lädt Programme nach
Sober.Q wurde nachgeladen
Sober.Q alias Trojan.Ascetic.C ist der bisher letzte Spross der berüchtigten Sober-Sippe, deren Urheber in der rechten Wurm- und Virenschreiberszene anzusiedeln sind. Das Schadprogramm wird von Experten als Trojanisches Pferd eingestuft und besitzt keine eigene Verbreitungsroutine, sondern wurde von seinem Vorgänger Sober.P automatisch aus dem Internet nachgeladen. Sober.P verseuchte ab 2. Mai dieses Jahres als überaus erfolgreicher WM-Ticket-Wurm Tausende von Computern. Seine Betreffzeilen und Nachrichtentexte versprachen eine Gewinnbenachrichtigung bei der Vergabe von Tickets zur Fußballweltmeisterschaft 2006 in Deutschland. Diese Masche wirkte so gut, dass die meisten Email-Nutzer jegliche Vorsicht vergaßen und den Emailwurm aktivierten.
Sober.P holte sich Verstärkung aus dem Netz
Sober.P verrichtete seine ihm eingepflanzten Aufgaben zunächst unter der Oberfläche der infizierten Windows-Betriebssysteme. Er nistete sich im befallenen System ein, deaktivierte Antivirensoftware sowie Windows-Firewall und schaltete die automatische Windowsupdate-Funktion aus - letzteres, weil Microsoft seit einigen Monaten mit den monatlichen Updates am so genannten Patchday auch eine eigene Antivirensoftware verbreitet. Die Wurmprogrammierer wollten offenbar auf Nummer sicher gehen und auch den Virenschutz aus dem Hause Microsoft ausschalten. Sober.P hatte die Aufgabe, den infizierten PC für das Nachladen weiterer Sober-Schadprogramme vorzubereiten und mit Sober.Q ein Trojanisches Pferd aus dem Internet nachzuladen. Sober.Q verwandelte die infizierten PCs anschließend in ferngesteuerte Spamschleudern, die die Emailpostfächer mit rechtem Propagandaspam überspülten.
Sober.Q lädt ab Montag nach
Mittlerweile scheint die Spamwelle abzuebben. Doch die Gefahr ist längst noch nicht vorbei. Sober.Q hat seine Schuldigkeit getan – er kann nun… nachladen. Das BSI, das sich im Hinblick auf die Sober-Schadprogramme als zuverlässige Informationsquelle erwiesen hat, weist darauf hin, dass Sober.Q ab Montag, 23. Mai 2005, versuchen wird, neue Programmteile – und damit neue Schadfunktionen – aus dem Internet nachzuladen. Welche Aufgaben diese Programmteile haben werden und welche Auswirkungen zu erwarten sind, lässt sich derzeit noch nicht sagen. Denkbar ist aber beispielsweise, dass die neuen Programme die Aufgabe haben könnten, die bereits infizierten PCs für Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) auf noch unbekannte Webserver zu missbrauchen, um diese lahmzulegen. Das BSI rät daher allen Internetnutzern dringend, die installierten Virenschutzprogramme auf den neuesten Stand zu bringen, um ein Nachladen der neuen Programme zu verhindern.
Server sollen abgeschaltet werden
Nach Analyse des Quellcodes ist Sober.Q offenbar in der Lage „selbstständig zahlreiche Stellen im Internet nach neuen Programmteilen abzufragen und diese nachzuladen“, meldet das BSI. Dadurch könnten ein neuer Computerwurm oder ein neues Trojanisches Pferd in Umlauf gebracht werden. Die Domainnamen, die Sober.Q abfragt sind mittlerweile bekannt. Das BSI hat zu den Betreibern Kontakt aufgenommen, sodass die jeweiligen Server abgeschaltet, also keine weiteren Schadprogramme nachgeladen werden können.
Schlampige Arbeit?
Es stellt sich die Frage, warum das Nachladen von Programmen aus dem Internet nicht auch schon beim WM-Ticket-Wurm Sober.P verhindert werden konnte. Sober.P wurde bereits am 2. Mai entdeckt. Seine Aktivitäten entfaltete der Wurm offenbar erst Tage später. Ein eingebauter Timer sorgte dafür, dass er ab einem bestimmten Datum damit begann, bestimmte Domains nach seinem Nachfolger abzufragen und Sober.Q herunterzuladen. Den meisten Antivirenexperten scheint diese Funktion völlig entgangen zu sein. Sie müssen sich die Frage gefallen lassen, wie gründlich ihre Quellcodeanalyse war, wie genau der neue Wurm getestet wurde und warum Entwarnung („Keine Schadfunktionen!“) fahrlässigerweise schon zu einem Zeitpunkt gegeben wurde, als noch völlig unklar war, was die rechtsradikalen Urheber des Sober-Wurms mit ihrer neuesten Kreatur bezweckten und welche Funktionen das Programm im Detail enthielt. Ganz böse Zungen könnten nun behaupten, dass der Antivirenbranche nach den wurm- und virentechnisch eher lauen letzten Monaten ein so erfolgreicher Schädling nicht ganz ungelegen kommt. Aber solche Zungen müssten schon sehr böse sein…
Zurück zur News-Übersicht