21.08.2003

OBACHT BITTE

"Sobig"-Wurm tobt immer noch

Auch am Donnerstagnachmittag wütete der verwünschte Wurm ungebrochen weiter. Von tante.jutta@orf.at angefangen trafen in den letzten sechs Stunden Hunderte Mails auf den verschiedenen Mail-Adressen der fuZo-Redakteure ein.

Der Wurm selbst verursachte nur gut die Hälfte dieses Verkehrs, der Rest bestand aus automatischen Antworten von Firewalls bzw. Anfragen entrüsteter User, warum sie von futurezone@orf.at usw. einen Virus erhalten haben.

Die Antwort: "Sobig" benützt zur Verbreitung Mailadressen, die er auf der Festplatte eines befallenen Rechners findet, und fälscht dann die Absenderadresse. Antworten hat also keinen Sinn.

Das österreichische Softwarehaus Ikarus hat den "I-Worm.Sobig.F" komplett entschlüsselt.

Er ist so programmiert, dass am 10. September mit dem Wüten im Netz Schluss ist. Eine solche Programmierung sei bei Computerviren nicht üblich, sagte Ernst Krippl von Ikarus. Eher sei ein auslösendes Datum wie etwa Weihnachten verbreitet, erklärte Krippl am Donnerstag.

Das britische Anti-Viren-Institut MessageLabs spricht davon, dass sechs Prozent aller weltweiten Mails derzeit von "Sobig.F" stammen. Im Extremfall könnte diese Zahl auf 60 Prozent steigen.

"See attached file for details"

"Hunderttausende 'Sobig-F'-Kopien geistern nun durch das Internet, sodass bei einigen Unternehmen das E-Mail-System bereits kollabiert ist", sagte Gernot Hacker, Technikexperte bei dem Münchner Anti-Virensoftware-Hersteller Sophos.

"Sobig.F" ist eine Variante des "Sobig"-Wurms, der vor rund einem halben Jahr im Internet in Umlauf gebracht worden war. Anders als "MSBlaster", der vor einer Woche weltweit für Aufregung gesorgt hatte, verbreitet sich "Sobig.F" über E-Mail und wird erst durch einen Doppelklick des Empfängers auf den Dateianhang aktiviert.

Die E-Mails ließen sich jedoch schwerer als sonst erkennen, da die Namen des Absenders gefälscht sind, warnt das BSI. Die Mail enthält im Textteil die Aufforderung "see attached file for details".

Während "Lovesan" auf den befallenen Computern in der Regel keine nachhaltigen Schäden hinterlässt, öffnet "Sobig.F" sie für einen ungehinderten Angriff von außen.