WM-Wurm schlägt alle Rekorde

Der am Montag Abend erstmals aufgetauchte neue WM-Wurm Sober.P (alias Sober.S) hat sich mit rasantem Tempo im Internet breit gemacht. Die Viren-Experten von Messagelabs haben innerhalb der ersten 24 Stunden über eine Million verseuchter Mails registriert. Kaspersky spricht gar von einer „Sober.p-Epidemie“ in Westeuropa.

„Den Statistiken der Mail-Server ist zu entnehmen, dass es sich um den meist verbreiteten Malicious Code im Mail-Verkehr handelt“, so die russischen Experten. Sober schlage bereits sämtliche Rekorde seiner Vorgänger – sowohl in der Anzahl der verschickten Viren-Mails als auch in der Geschwindigkeit der Verbreitung in einigen europäischen Ländern (insbesondere in den Niederlanden, Deutschland, Ungarn und einigen anderen Staaten). In Asien und Russland hat der Wurm hingegen bislang wenig Schaden angerichtet.

Dies könnte unter anderem daran liegen, dass er nur mit deutschen und englisch-sprachigen Betreffzeilen kommt. Seine Erfolgsstrategie: In Subject und Body wird dem Empfänger vorgegaukelt, er habe eine der begehrten WM-Tickets erhalten. Die Virenwelle rollte just an dem Tag an, als ein neuer Verkaufsabschnitt für die Fußball-Weltmeisterschaft 2006 in Deutschland begann. Der Wurm fälscht auch die Absender-Adresse, sodass Unbedarfte durch Mail-Adressen wie „WM-Ticket@ok2006.de“, „fifa@ok2006.de“ sowie „Ticket@fifa.de“ meinen könnten, von der Fifa Post zu erhalten.

Diese hat sich bereits gestern von der Aktion distanziert, das deutsche Organisationskomitee ist selbst von der Wurm-Epidemie befallen. Surfer, die Karten geordert haben, können richtige von falschen Mails unterscheiden: Wer wirklich ein Ticket ergattert hat, erhält eine Mail ohne Anhang. Der neue Sober-Wurm kommt aber immer mit gezippten Anhang, in dem eine „.exe“-Datei steckt. Wer auf diese doppeklickt, aktiviert den Wurm und sorgt für eine weitere Verbreitung. Sämtliche Hersteller von Antiviren-Software haben inzwischen Updates gegen die neuen Sober-Varianten zur Verfügung gestellt.