"Sobig.F"-Angriffswelle wurde abgewehrt
Die für Freitagabend befürchtete Attacke, ausgelöst durch den E-Mail-Wurm "Sobig.F", scheint großteils ausgeblieben zu sein.
Anti-Viren-Software-Hersteller wie F-Secure, McAfee oder Symantec hatten davor gewarnt, dass mit dem Virus infizierte Rechner am Freitagabend ab 21 Uhr Europäischer Sommerzeit zu 20 anderen Computern Kontakt aufnehmen würden, um von dort weitere Instruktionen herunterzuladen.
Am Freitag wurde daraufhin von den Internet Service Providern [ISP] und Behörden versucht, alle betreffenden Rechner, die aus dem Quellcode des Virus bekannt waren, vom Netz zu nehmen, was nach einigen Meldungen auch gelang.
Laut Antivirensoftware-Hersteller Symantec war jedoch einer der Server später wieder erreichbar und leitete die infizierten Rechner auf eine übliche pornografische Website weiter, wo diese jedoch, im Gegensatz zu den geäußerten Befürchtungen, kein Programm oder neue Instruktionen heruntergeladen haben dürften. Laut F-Secure soll der Rechner zudem relativ schnell unter der Last des Traffics zusammengebrochen sein.
Frühere Sobig-Varianten hatten unter anderem Programme heruntergeladen die Passwörter ausspionierten, Systeminformationen verschickten oder die betreffenden Rechner für das anonyme Verschicken von Spam-Mails vorbereitet. In der aktuellen Variante soll das Spam-Feature laut MessgeLabs weiter verfeinert worden sein.
"Sobig"-Wurm tobt immer nochFBI ermittelt
Für Sonntag sieht Internet Security Systems die Gefahr einer größeren Attacke als entschärft an, da die Internet Service Provider nun bereits zu blockierende IP-Adressen kennen würden. Die erste Attacke habe zwar mehr Traffic als üblich im Netz ausgelöst, aber nicht genug um das Netz zu verstopfen. Andere Beobachtungen Keynote Systems sahen keinerlei Auswirkungen.
Die Experten sind sich nicht sicher, ob nicht vielleicht noch weitere Sobig-Varianten mit ganz anderen Rechner-Listen im Netz kursieren, die eine neue Bedrohung darstellen könnten. Auch schätzen sie die Gefahr nicht als gebannt ein. Zudem verbreitet sich der Virus immer noch via E-Mail weiter.
Das FBI arbeitet mittlerweile zusammen mit dem US-Heimatschutzministerium an der Aufklärung und der Verhinderung der nächsten Welle des Virus.
ISP Easynews hat nach eigenen Angaben eine Vorladung des FBIs erhalten. Das Unternehmen sagte, es werde bei der Aufklärung mit der US-Behörde zusammenarbeiten.
Aktiv bis 10. September
Der Virus ist derart programmiert, dass die Routine bis 10.
September jeden Freitag und Sonntag zur selben Zeit [zwischen 19 und
22 Uhr GMT], gestartet wird.
Per Usenet in Umlauf gebracht
Der Virenschreiber soll mittels eines Easynews-Account Sobig.F über das Usenet freigelassen haben, versteckt als Pornografische Aufnahme in einer Newsgroup, so eine Meldung des ISPs.
Für den Zugang soll er laut Washington Post mit einer gestohlenen Kreditkarte bezahlt haben, den Account soll er ebenfalls von einem fremden Rechner angelegt haben.
Die "New York Times" musste am Freitag alle Computer in ihrem New Yorker Hauptquartier herunterfahren. Nach Angaben eines Sprechers war das Computersystem der Zeitung am Mittag aus unbekannten Gründen plötzlich gestört. Daraufhin wurden alle Mitarbeiter angewiesen, umgehend ihre Geräte abzuschalten.