Sicherheit

Sober.X besitzt doch eine Schadroutine (aktualisiert)

Internetwurm sorgt für größten Virenausbruch in diesem Jahr
Von Björn Brodersen

Die neue Variante des Internetwurms Sober - der Anti-Viren-Spezialist F-Secure spricht von Sober.X - hat für den größten Virenausbruch in diesem Jahr gesorgt. Nach Angaben von F-Secure wurden allein in den frühen Morgenstunden mehrere Millionen infizierter E-Mails gesichtet. Die starke Verbreitung von Sober.X führen die Experten in erster Linie darauf zurück, dass der Wurm als gefälschte Warnung des FBI, CIA oder Bundeskriminalamts Anwender erfolgreich täuscht. In anderen Fällen gaben die Informationen in der E-Mail auch vor, vom Fernsehsender RTL ("Wer wird Millionär) oder vom Online-Auktionshaus eBay zu stammen.

Während der Anit-Viren-Entwickler den Wurm weiter untersucht, hat er bereits eine erste Schadroutine festgestellt. Nach neuen Erkenntnissen von F-Secure beendet Sober.X auf infizierten Rechnern verschiedene Computeranwendungen. Davon betroffen sind Anwendungen, in deren Namen beispielsweise die Bestandteile "microsoftanti", "inetupd" oder "guardgui" enthalten sind. Anschließend zeigt er dem Nutzer in einer Statusmeldung an, dass keine Viren, Würmer oder Trojanischen Pferde im System entdeckt worden seien. Hiermit soll dem Benutzer vorgegaukelt werden, dass das Virenschutzprogramm oder das Programm zur Entfernung von Viren keine Infektion auf dem Computer gefunden hat. Darüber hinaus kann Sober.X Dateien auf einem infizierten Computer herunterladen und ausführen. Anschließend verbindet sich der Wurm mit verschiedenen Zeitservern, um seine Aktivitäten zu synchronisieren.

Internetwurm stammt wahrscheinlich aus Deutschland

Sober.X wurde bereits am 16. November entdeckt, seine Verbreitung erfolgte aber erst fünf Tage später. Wie die vorherigen Varianten versendet sich der Wurm über ein ZIP-Archiv als Anhang an E-Mails mit englischem oder deutschem Text. Wird der Anhang geöffnet, infiziert er den Computer. Die F-Secure-Virenexperten sind überzeugt, dass alle 25 Sober-Varianten von einer von Deutschland aus operierenden Person geschrieben wurden. E-Mails dieser Art treten zurzeit vor allem in Deutschland, Österreich und der Schweiz auf.

Eine detaillierte Beschreibung des Wurms ist auf der Website von F-Secure zu finden. Wer solche E-Mails empfängt, sollte nicht ihren Anhang öffnen und die Mails löschen sowie einen aktualisierten Virenscanner über den Rechner laufen lassen.