Wurm legt E-Mail-System des WM-OK lahm

Nach den millionenfachen Manipulationsversuchen aus den USA und Schwarzhandel im Internet-Auktionshaus „Ebay“ hat ein neuer E-Mail-Virus das Kommunikationssystem des WM-Organisationskomitees in Deutschland vorläufig komplett lahm gelegt. „Seit Montagabend können weder E-Mails ausgesendet noch empfangen werden“, sagte Wolfgang Niersbach, Vizepräsident des WM-OK, am Dienstag in Frankfurt am Main.

Die Mitarbeiter seien wie aus einem übervollen Briefkasten zu Hauf mit elektronischer Post überschüttet worden und würden immer noch mit Telefonanrufen vermeintlicher, zum Teil ärgerlicher Kunden bombardiert, die sich über den überraschenden Gewinn einer WM-Eintrittskarte wunderten. „Das Positive ist, dass die eigentliche Ticket-Operation davon nicht betroffen ist, weil die bisherigen Gewinner schon benachrichtigt sind oder noch werden. Wir wollen so schnell wie möglich alles erledigen und zur Normalität zurückkehren“, meinte Niersbach, der einen Termin für das Stau-Ende nicht nennen konnte.

Das OK und mehrere Antivirenspezialisten hatte zuvor schon vor der Computer-Wurm-Variante des bereits bekannten Schädlings „Sober“ gewarnt, der zuletzt vor rund einem Jahr für Aufsehen gesorgt hatte. Internetbenutzer erhalten laut OK-Angaben eine Mail, die ihnen vortäuscht, Eintrittskarten für das Turnier erhalten zu haben. Diese Mail fordere dazu auf, einen Anhang zu öffnen, um weitere Details zu erfahren. „Dieser Anhang ist mit Sicherheit gefälscht und verseucht. Wir warnen ausdrücklich davor, ihn zu öffnen“, sagte WM-OK-Sprecher Gerd Graus.

Laut den Antiviren-Spezialisten Trend Micro, F-Secure und H+BEDV wurden die E-Mails mit deutschsprachigem Text und dem neuen gefährlichen Anhang seit dem späten Montagnachmittag verbreitet. Nach OK-Angaben schlug das interne Warnsystem gegen 16 Uhr wegen des Wurms Alarm.

Die gefälschte Mail hat folgenden Text:

Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets für die 64 Spiele der

Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

Ihr „ok2006“ Team

St. Rainer Gellhaus

— FIFA-Pressekontakt:

— Pressesprecher Jens Grittner und Gerd Graus

— FIFA Fussball-Weltmeisterschaft 2006

— Organisationskomitee Deutschland

— Tel. 069 / 2006 – 2600

— Jens.Grittner@ok2006.de

— Gerd.Graus@ok2006.de

Offizielle E-Mails des OK werden grundsätzlich nicht mit einem Datei-Anhang verschickt, betont Graus. „Die erste Bestellphase ist seit dem 22. April beendet, und entsprechende E-Mails sind den ‚Gewinnern‘ längst zugesendet worden.“ Die „Gewinner“ aus der seit dem 2. Mai angelaufenen zweiten Bestellphase seien auch schon per E- Mail benachrichtigt worden. „Jetzt werden danach noch einmal Bestätigungsmails geschickt, aber die haben auf keinen Fall einen Anhang“, sagte der OK-Sprecher. „Wenn eine Mail mit Anhang kommt, kann sie nicht von uns sein.“

Im Juni 2004 hatte „Sober.G“ die auf den infizierten Rechnern gefundenen E-Mail-Adressen missbraucht und in deren Namen rechtsradikale Inhalte verbreitet. An der neuen Variante sei technisch nicht viel Neues, sagt der Karlsruher Virenexperte Christoph Fischer. „Der geniale Trick ist nur, dass er sich in Zusammenhang mit den WM-Tickets verbreitet.“

Bei der Vielzahl der im Internet kursierenden E-Mail-Würmer dürfte inzwischen die Mehrheit der Nutzer vorsichtiger geworden sein. Die meisten Schädlinge sind zudem in englischer Sprache verfasst oder gerade einmal in holpriges Deutsch übersetzt. Schon allein dadurch fallen viele deutsche Nutzer immer seltener darauf herein.

Der neue Sober-Wurm verbreitet sich dagegen auch mit einwandfreiem deutschen Text. Der Inhalt sei „nicht schlecht“ gemacht, sagt Elke Wößner, Sprecherin des Antiviren-Software-Herstellers Kaspersky. „Da ist kein einziger Rechtschreibfehler drin.“

Die Betreffzeilen sind zum Beispiel „FwD: Glueckwunsch: Ihr WM Ticket“. Der Wurm-Code ist als ZIP-Archiv, das eine ausführbare Datei enthält, an die Email angehängt. Die Absender-Adresse lautet „Ticket@fifa.de“ oder „Gewinn@fifa.de“. Sober.P hat eine Größe von 53 554 Bytes.

Nach Öffnen des Anhangs verbreitet sich der Schädling dann über die im E-Mail-Programm gespeicherten Adressen weiter. Zudem öffnet Sober.P ein Fenster mit dem Text: „Error: CRC not complete“. Der Computervirus fügt der Windows Registry bestimmte Einträge hinzu, damit dieser beim nächsten Systemstart automatisch gestartet wird. Nach ersten Erkenntnissen der Experten richtet Sober keinen weiteren Schaden auf den PCs an. „Harmlos wäre aber der falsche Begriff“, sagt Fischer. Immerhin verursacht Sober erhebliche Staus auf den Servern, eine Menge Arbeit und hohe Kosten zur Bereinigung der infizierten Rechner.

Die Experten von H+BEDV sehen in dem Schädling ein mittleres Schadens- und Verbreitungspotenzial, haben allerdings eine hohe Zahl gemeldeter Infektionen registriert. Betroffene Betriebssysteme sind Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP und Windows Server 2003.

Nachrichten, die Sober-Würmer verschicken, haben bislang in der Regel folgende Betreff-Zeile: „Re: Your Password“, „Re: Registration Confirmation“, „Re: Your email was blocked“, „Re: mailing error“, „FwD: Ihr Passwort“, „FwD: Ihre Email wurde verweigert“, „FwD: Ich bin’s, was zum lachen ;)“, „FwD: Glueckwunsch: Ihr WM Ticket“, „FwD: WM Ticket Verlosung“ oder „FwD: WM-Ticket-Auslosung“. Die gefährlichen Attachments haben meist folgende Namen: „mail_info.zip“, „our_secret.zip“, „Fifa_Info-Text.zip“, „okTicket-info.zip“, „free_PassWort-Info.zip“ oder „LOL.zip“.

Experten empfehlen, E-Mails mit diesen Betreffzeilen, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen. Inzwischen haben alle führenden Hersteller von Antiviren-Software ihre Produkte aktualisiert. Über den Namen des jüngsten Schädlings sind sich die Experten jedoch nicht einig. Er wird derzeit als Sober.O,.P,.N oder .S bezeichnet.