117376

Wiedervorlage: Sober-Wurm am 6. Januar

05.01.2006 | 13:45 Uhr |

Voraussichtlich wird der Sober-Wurm am 6. Januar eine neue Welle von Mails starten.

In der ganzen Aufregung um die WMF-Sicherheitslücke in Windows und deren Ausnutzung sollte der Sober-Wurm nicht vergessen werden. Nach der Analyse des Programm-Codes der im November aufgetauchten Sober-Variante "CME-681" ( wir berichteten ) durch mehrere Antivirus-Firmen wird diese bislang letzte Version des Wurms in der Nacht zum 6. Januar auf bestimmten Websites nach einem Update suchen.

Die Virenforscher glauben den Mechanismus geknackt zu haben, mit dem Sober die URLs der Websites generiert, auf denen er nach Updates schaut. Demnach hängt das Ergebnis dieser Berechnungen vom aktuellen Datum ab. Sober gleicht auf infizierten PCs Datum und Uhrzeit mit Zeit-Servern (NTP - Network Time Protocol, Port 37) im Internet ab, lässt sich also nicht so ohne Weiteres austricksen, indem man einfach die Systemuhr verstellt.

Die Updates sucht der Wurm in bestimmten Unterverzeichnissen auf folgenden Websites:

people.freenet.de
home.arcor.de
free.pages.at
home.pages.at
scifi.pages.at

Auf diesen Websites können Internet-Nutzer kostenlos Web-Seiten einstellen, die von den Virenforschern ermittelten Unterverzeichnisse existieren derzeit allerdings noch nicht. Es ist durchaus denkbar, dass der Programmierer des Sober-Wurms den 6. Januar verstreichen lässt, ohne die Updates bereit zu stellen. Ihm dürfte bewusst sein, dass sein Plan zumindest im Ansatz bekannt ist und dass die Update-URLs überwacht werden.

Wenn trotzdem und mit einem gewissen Erfolg Sober-Updates bereit gestellt und durch infizierte PCs herunter geladen werden, könnte von diesen Rechnern eine neue Welle von Spam-Mails mit rechter Propaganda ausgehen. Dies ist bereits im Frühjahr 2005 der Fall gewesen, als im Vorfeld der Landtagswahl in Nordrhein-Westfalen eine Anfang Mai verbreitete Sober-Variante ("CME-456") nach einem Update mit dem Versand von Mails begann, die nationalistische Inhalte, aber keinen schädlichen Anhang aufwiesen. Auch im Jahr 2004 gab es schon einen ähnlichen Vorfall, damals mit "Sober.g", im Vorfeld der Europawahl und der Landtagswahl in Sachsen.

Wenn Sie nicht ohnehin schon ein Antivirus-Programm installiert haben und es regelmäßig aktualisieren, wäre heute ein guter Tag um damit anzufangen. Wenn bereits mit dem Sober-Wurm infizierte PCs entseucht werden, können sie auch keine Sober-Updates laden und keine weiteren Wurm-Mails versenden. Mehrere Antivirus-Hersteller bieten zudem kostenlos spezielle Programme zum Erkennen und Entfernen des Sober-Wurms an, zum Beispiel:

McAfee Stinger
Panda PQREMOVE
Symantec FixSbr

Falls es am Freitag zu einer neuen Sober-Welle kommen sollte, werden Sie in unsern Sicherheits-News mehr darüber erfahren.

0 Kommentare zu diesem Artikel
117376