24.11.2004 · Der Internet-Wurm „Sober“ hat die Internet-Nutzer im Visier und befällt E-Mail-Postfächer. Vor allem im deutschsprachigen Raum wird der virtuelle Schädling immer lästiger.
© dpa
Wer vor dem Öffnen seine E-Mails nicht überprüft, erlebt oft ein böses Erwachen
Nach einem ruhigen Sommer, in dem die Virenjäger der Internet-Sicherheitsunternehmen ihre Überstunden aus dem turbulenten Frühjahr abbauen konnten, ist wieder eine Virenwelle unterwegs: Die neue Variante des Computerwurms „Sober“ befällt zur Zeit die E-Mail-Postfächer der Internet-Nutzer. Der als „Sober.J“ oder „Sober.I“ bezeichnete Wurm führe zwar keine Schadprogramme aus, sagt der Karlsruher Virenexperte Christoph Fischer. „Aber er verursacht erhebliche Störungen und verstopft die Mailboxen.“
Innerhalb von 24 Stunden habe die neue „Sober“-Variante 55 Prozent aller Virenmeldungen ausgemacht, berichtete Graham Cluley, Technologieberater des Anti-Viren-Herstellers „Sophos“. „Wenn wir die Ergebnisse auf die einzelnen Länder herunterbrechen, zeigt sich, daß erstaunliche 48 Prozent der Reports aus dem deutschsprachigen Raum stammen.“
„Sober“ tritt auch in deutscher Sprache auf
Trifft der Wurm auf eine deutschsprachige E-Mail-Adresse, landet die Mail automatisch zur Tarnung mit einem deutschen Nachrichtentext im Postfach, warnt das Sicherheitsunternehmen Messagelabs. „Sober ist einer der wenigen Würmer, die auch in deutscher Sprache auftreten. Gemäß unserer Erfahrung mit vorangegangenen Sober-Varianten ist daher anzunehmen, daß sich der Schädling besonders in deutschsprachigen Gebieten stark verbreiten wird“, sagt Graham Cluley.
Unterdessen haben Sicherheitsexperten auch erste Anhaltspunkte zu den möglichen Urhebern gewonnen. „Es scheint, daß der Virus deutscher Herkunft ist“, sagte Marius van Oers von „McAfee“. Im Programm-Code des Wurms haben die Karlsruher Experten das Wort „Odin“ entdeckt. „Odin“, auch „Wotan“ genannt, ist in der germanischen Sage das Oberhaupt der Götter. „Wir vermuten deshalb, daß der Urheber aus der braunen Ecke kommt“, sagt Fischer.
Gute Tarnung
Der Wurm infiziert Rechner mit den Betriebssystemen Microsoft Windows 95, 98, ME, NT, 2000 und XP. Die Betreff-Zeilen der schädlichen E-Mails können variieren. „Die sind zum Teil vom Text her sehr schön gemacht“, berichtet Fischer. „Wahrscheinlich ist der Wurm deshalb so erfolgreich.“ Übliche Betreffzeilen lauten „Mail-Verbindung wurde abgebrochen“ und „Mailer-Error“, aber auch „Re: Lieferungs-Bescheid“, „Auftragsbestätigung“ oder „Ihre neuen Account-Daten“ sind häufig anzutreffen.
Zur Verwirrung trägt die angehängte Datei unterschiedliche Endungen wie .com, .bat oder .scr. Zudem tarnt sich der Wurm als .doc (Word-Dokument), .xls (Excel-Datei) und .txt (Textdatei), die nicht erkennen lassen, daß sich dahinter eine ausführbare Datei versteckt.
Virenprogramme aktualisieren
Die neue Sober-Variante setzt auf die übliche Masche: Erst wenn der Nutzer auf den Anhang der E-Mail klickt, startet das Schadprogramm. Ist der Rechner einmal infiziert, sendet sich der Wurm an alle E-Mail-Adressen, die er auf dem Rechner finden kann. Die großen Hersteller der Anti-Viren-Programme haben ihre Software aber inzwischen aktualisiert. Auf jeden Fall sollten die Internet-Nutzer die Mail aber ungesehen löschen.
Die organisierte Kriminalität im Internet hat nach einem Bericht des Internetdienstleisters Verisign in den vergangenen zwölf Monaten deutlich zugenommen. Das Hauptmotiv der Virenschreiber sei nicht der Ruhm, sondern eindeutig finanzielle Vorteile, hat Verisign in seinem vierten Bericht über die Trends zu Nutzung und Wachstum sowie Bedrohungen und Schwachstellen im Internet herausgefunden. Vor allem seien die Hacker und Betrüger „kreativer, effizienter, hartnäckiger und intelligenter“ geworden, hieß es.
