21.08.2003

OBACHT BITTE

"Sobig"-Wurm tobt immer noch

Auch am Donnerstagnachmittag wütete der verwünschte Wurm ungebrochen weiter. Von tante.jutta@orf.at angefangen trafen in den letzten sechs Stunden Hunderte Mails auf den verschiedenen Mail-Adressen der fuZo-Redakteure ein.

Der Wurm selbst verursachte nur gut die Hälfte dieses Verkehrs, der Rest bestand aus automatischen Antworten von Firewalls bzw. Anfragen entrüsteter User, warum sie von futurezone@orf.at usw. einen Virus erhalten haben.

Die Antwort: "Sobig" benützt zur Verbreitung Mailadressen, die er auf der Festplatte eines befallenen Rechners findet, und fälscht dann die Absenderadresse. Antworten hat also keinen Sinn.

Das österreichische Softwarehaus Ikarus hat den "I-Worm.Sobig.F" komplett entschlüsselt.

Er ist so programmiert, dass am 10. September mit dem Wüten im Netz Schluss ist. Eine solche Programmierung sei bei Computerviren nicht üblich, sagte Ernst Krippl von Ikarus. Eher sei ein auslösendes Datum wie etwa Weihnachten verbreitet, erklärte Krippl am Donnerstag.

Das britische Anti-Viren-Institut MessageLabs spricht davon, dass sechs Prozent aller weltweiten Mails derzeit von "Sobig.F" stammen. Im Extremfall könnte diese Zahl auf 60 Prozent steigen.

"Größte Epidemie" der letzten Zeit
Generell übertrifft der Wurm in seiner rasanten Verbreitung bisher bekannte Schädlinge um das Zehnfache. Das Moskauer IT-Sicherheitsunternehmen Kaspersky sprach am Donnerstag sogar von der "größten Epidemie" in den vergangenen eineinhalb Jahren.

Ikarus

"See attached file for details"

"Hunderttausende 'Sobig-F'-Kopien geistern nun durch das Internet, sodass bei einigen Unternehmen das E-Mail-System bereits kollabiert ist", sagte Gernot Hacker, Technikexperte bei dem Münchner Anti-Virensoftware-Hersteller Sophos.

"Sobig.F" ist eine Variante des "Sobig"-Wurms, der vor rund einem halben Jahr im Internet in Umlauf gebracht worden war. Anders als "MSBlaster", der vor einer Woche weltweit für Aufregung gesorgt hatte, verbreitet sich "Sobig.F" über E-Mail und wird erst durch einen Doppelklick des Empfängers auf den Dateianhang aktiviert.

Die E-Mails ließen sich jedoch schwerer als sonst erkennen, da die Namen des Absenders gefälscht sind, warnt das BSI. Die Mail enthält im Textteil die Aufforderung "see attached file for details".

Während "Lovesan" auf den befallenen Computern in der Regel keine nachhaltigen Schäden hinterlässt, öffnet "Sobig.F" sie für einen ungehinderten Angriff von außen.

Trojanisches Pferd wird installiert
Betroffen sind alle gängigen Windows-Betriebssysteme. Bei Öffnen des Anhangs installiert der Schädling ein so genanntes Trojanisches Pferd auf dem Rechner. Trojanische Pferde sind manipulierte Programme, die den Zugriff von außen auf die Daten des Rechners ermöglichen.

Wurm nervt weltweit Internet-Nutzer