Sober-Wurm: Update-Code geknackt

Nach eigenem Bekunden ist es dem finnischen Antiviren-Hersteller F-Secure gelungen, den Update-Algorithmus des seit Monaten wütenden Sober-Wurms zu knacken. Die Formel werde von dem Schädling verwendet, um sich selbst in voreingestellten Zeitabständen über das Internet zu aktualisieren. Dabei versucht der Wurm neue, in Erkennungsdatenbanken noch nicht erfasste Wurm-Abkömmlinge auf bereits infizierte Rechner nachzuladen.

Die nächste Sober-Angriffswelle sei für den 5. Januar einprogrammiert. Zu diesem Zeitpunkt versuchten befallene Rechner, die folgenden, in Deutschland und Österreich registrierten Webseiten zu kontaktieren:

• http://people.freenet.de/gixcihnm/
• http://people.freenet.de/tobtrfjabzw/
• http://people.freenet.de/utzmfucaau/
• http://people.freenet.de/phyibrpkcpl/
• http://people.freenet.de/lhxrdryo/
• http://people.freenet.de/yediykdq/
• http://people.freenet.de/bjjhdkybpyaj/
• http://scifi.pages.at/agzytvfbybn/
• http://home.pages.at/bdalczxpctcb/
• http://free.pages.at/ftvuefbumebug/
• http://home.arcor.de/ijdsqkkxuwp/
• http://home.arcor.de/ldhdytdu/
• http://home.arcor.de/wdqodvdhwwese/
• http://home.arcor.de/frweemrecuvw/
• http://home.arcor.de/nulmjznomnt/

Spätestens jetzt sollten Maßnahmen gegen den nächsten Wurmausbruch getroffen werden, meint Mikko Hypponen, Chief Research Officer bei F-Secure. „Diese (Webspace-) Anbieter sollten in der Lage sein, die spezifischen URLs zu sperren, die der Virus im Januar aufzurufen versuchen wird. Mit etwas Glück wird also nichts passieren“, so Hypponen. „Internet Service Provider und Antiviren-Firmen haben mehr als genug Zeit, um tätig zu werden.“