Sober-Wurm: Neue Angriffswelle im Januar

Während Administratoren auf der ganzen Welt daran arbeiten, ihre E-Mail-Systeme von der letzten Sober-Wurmflut zu säubern, warnen Sicherheitsexperten bereits vor der nächsten Angriffswelle des Schädlings. In der aktuellen Sober-Variante, die seit dem 22. November ihr Unwesen treibt, sei die nächste Offensive fest einprogrammiert. Bereits infizierte Rechner warteten den 5. Januar ab, um zu diesem Zeitpunkt neue Daten und Anweisungen von ihren Meistern herunterzuladen. Anschließend würden vermutlich die gekaperten Systeme genutzt, um abermals einen neuen Abkömmling der Sober-Familie zu verbreiten. Dies hätten Untersuchungen des Verisign-Unternehmens Idefense ergeben.

So hätten Internetnutzer etwas weniger als einen Monat Zeit, um ihre Schutzmaßnahmen gegen den im Jahr 2005 schlagkräftigsten und effektivsten Schädling auf Vordermann zu bringen.

Der bevorstehende Angriff könne jedoch auch vereitelt werden, urteilt Mikko Hypponen, Chief Research Officer beim finnischen Antiviren-Hersteller F-Secure. Der Wurm sei so programmiert, um neuen Schadcode von Seiten bei kostenlosen Webspace-Anbietern herunterzuladen. Diese befänden sich überwiegend in Deutschland und Österreich. „Diese Anbieter sollten in der Lage sein, die spezifischen URLs zu sperren, die der Virus im Januar versuchen wird aufzurufen. Mit etwas Glück wird also nichts passieren“, so Hypponen. „Internet Service Provider und Antiviren-Firmen haben mehr als genug Zeit, um tätig zu werden.“

Die Familie der Sober-Würmer scheine die Arbeit von einem oder mehreren deutschsprachigen Programmierern zu sein, erklärt Idefense. Nahezu 30 Varianten des Wurms seien seit Oktober 2003 in Umlauf gebracht worden.