www.Schildkroetenforum.com

DanielS · Gast

TR/Spam.Sober.Q (Worm/Sober.gen)

--ganz unten findet ihr den Link zum Artikel beim SpiegelONLINE
und beim zweiten Link die Infos über den Wurm! Wichtig
sind dabei die Pfade zu Verzeichnissen auf (vielleicht)
Eurem Rechner! Also lesen und nachschauen!!!!

17. Mai 2005 Druckversion | Versenden | Leserbrief
----

NAZI-MAILSCHWEMME

Nächste Attacke ist bereits programmiert

Von Frank Patalong

Sober.P erwies sich am Pfingstwochenende als Zeitbombe
mit Wiederholungs-Funktion. Eine unbekannte Zahl infizierter
Rechner überschwemmt das Web mit rechten Spam-Mails.
In zehn Tagen droht die nächste Attacke, was dann folgt,
weiß niemand. Verhindern können das nur noch die PC-Nutzer
selbst.

Wirre Flut: Viele Internet-Nutzer fanden am Dienstagmorgen
mehrere tausend rechte Spam-Mails auf ihrem Rechner
vor
Eigentlich, erklärt Michael Dickopf vom Bundesamt für
Sicherheit in der Informationstechnik, sei die Sober-Variante,
die seit dem Wochenende teils rechtsradikale Spam-Mails
verteilt, kein neues Virus: "Das Ding wurde nachgeladen."
Rein technisch ist das Virus, das für die Mailflut
in deutschen E-Mail-Accounts sorgt, identisch mit dem
"WM-Wurm" - der hat nur neue Befehle bekommen.

Und die sahen so aus: "Die befallenen Rechner bekamen
am 11. Mai den Befehl, sich von Servern im Internet
neue Befehle abzuholen. Die lauteten in diesem Fall,
E-Mail-Adressen aus Outlook, aber auch aus anderen
Dokumenten abzugreifen und ab dem 15. Mai die bekannten
Spam-Mails zu verschicken."

Und zwar zum einen an die gefundenen Adressen, aber
auch in deren Namen: Dickopf sieht darum neben der
Belastung von Netzwerken vor allem die Gefahr von "Ansehensverlust"
als Hauptschaden der aktuellen Viren- und Spamwelle.

Klar, denn kein Unternehmen hat es gern, zum scheinbaren
Verteiler teils rechtsextremer Inhalte zu werden. Auch
Medienunternehmen schmeckt es natürlich gar nicht,
wenn Artikel aus ihrem Angebot zur Untermauerung rechter
Thesen missbraucht werden - auch der SPIEGEL ist hier
betroffen.

Der User ist gefragt

Tun kann man dagegen herzlich wenig: Die einzigen,
die die Spamflut jetzt noch unterbinden können, sind
die Besitzer der befallenen Rechner. Dickopf: "Es ist
enorm wichtig, dass die Leute ihre Virenscanner auf
einen aktuellen Stand bringen!"

Und zwar jedermann, denn da die aktuelle Sober-Variante
keine den befallenen Rechner selbst schädigende "Ladung"
besitzt, bemerkt der Besitzer des Rechners es im Zweifelsfall
gar nicht, dass er zum Spamverteiler gemacht wurde.

Davon aber gibt es so einige. Das genaue Ausmaß der
Spamattacke ist zwar nicht bekannt. In den aktuellen
Virenstatistiken, erklärt Carsten Liebl von AntiVir,
spielten Soper.O, Q oder P keine große Rolle. Auch
die Systemadministratoren der großen Freemailerdienste
melden "wenig Probleme", wie es von Seiten GMX' heißt.
Dort seien Soper.P-Mails etwa so häufig wie vor kurzem
Sober.O-Mails - kein Wunder, handelt es sich ja wohl
vornehmlich um "aufgefrischte" Alt-Infektionen.

In vielen Unternehmen sieht es dagegen ganz anders
aus. Bei SPIEGEL ONLINE sind die öffentlich zugänglichen
Mailadressen mit bis zu 25.000 Mails pro Einzelaccount
betroffen - innerhalb von noch nicht einmal 48 Stunden.

"Das ist ein hinterhältiges Ding und eine kleine Zeitbombe",
fasst Michael Dickopf vom BSI zusammen und äußert sich
erleichtert darüber, dass der Wurm mit dem eingebauten
Trojaner zumindest keine technischen Schäden verursache.

Doch das ist längst nicht ausgemacht: Der Sober-Wurm
verfügt über eine eingebaute "Update-Automatik", die
ihn zum Nachladen neuer Befehle auffordert. Auch der
nächste Stichtag ist bereits bekannt, erklärt Carsten
Liebl von AntiVir: "In zehn Tagen holt er sich neue
Befehle!" Was er sich als nächstes aus dem Netz greift,
könne man aber nicht wissen.

Update ist überfällig

Verblüffend ist schon jetzt, wie effektiv der Wurm
für Schäden sorgt - denn letztlich geht die Mailwelle
nur von Altrechnern aus, deren Besitzer es versäumt
haben, ihre Virenscanner auf dem neuesten Stand zu
halten. So sieht das auch der bekannte Virenexperte
Christoph Fischer: Die Verbreitung zeige, wie viele
Nutzer den Wurm heruntergeladen und nicht von ihren
Rechnern beseitigt hätten.

Das aber ist einfach genug: Alle großen Anbieter von
Virenschutzsoftware bieten entsprechende Updates oder
Entfernungs-Tools an. Problematisch ist, dass Sober
- das ist seine einzige echte Schadensroutine - vorhandene
Virenscanner außer Gefecht setzt. Der Selbstauskunft
der Software, alles würde gecheckt und sei in Ordnung,
ist also nicht zu vertrauen: Ein (im Übrigen kostenloses)
Update ist fällig und sollte auf jeden Fall durchgeführt
werden.

Gefährdet, von Sober befallen und kontrolliert zu werden,
sind alle Rechner mit den Windows-Betriebssystemen
95, 98, ME, NT, 2000, XP sowie Windows Server 2003.
Linux-, Unix-, Apple- und andere Systeme sind nicht
betroffen.

http://www.spiegel.de/netzwelt/technologie/0,1518,356236,00.html
http://www.antivir-pe.de/de/vireninfos/virenlexikon/index.html?show=1&no_cache=1&tx_ideaavviruslex_pi2[showUid]=841