Es wuselt und wimmelt: Sobig.F vermehrt sich mit rasender Geschwindigkeit
"Solche Zahlen", sagt Brian Czarny vom IT-Sicherheitsunternehmen MessageLabs, "haben wir noch nie gesehen". Damit meint er eine Eins und sechs Nullen - denn das entspricht der Zahl der Sobig.F-Viren, die das Unternehmen am ersten Tag der Virenverbreitung aus dem Web filterte.
Jede siebzehnte E-Mail habe demnach das Virus enthalten und Sobig.F damit eine Verbreitungsgeschwindigkeit erreicht, die etwa siebenmal höher liegt als beim bisherigen Rekordhalter Klez zu seinen "besten" Zeiten. Das kürt Sobig.F zum Weltmeister unter den Viren. Andere IT-Sicherheitsunternehmen schließen sich der Einschätzung an. In den aktuellen Virencharts der häufigsten Neuinfektionen der letzten 24 Stunden führt Sobig.F auch bei Trend Micro unangefochten.
Spam als "Starthilfe"?
Zu erklären sei all das nur durch den Einsatz von Spam-Techniken, glaubt man bei Sophos und Kaspersky Labs. Den Zeitpunkt der Verbreitung hält Sophos-Security-Analyst Chris Belthoff nicht unbedingt für einen Zufall: Die Veröffentlichung des Blaster-Wurms in der letzten Woche könnte auf andere Virenautoren als Herausforderung gewirkt haben. Wahrscheinlich wurde Sobig.F in mehreren Hunderttausend Kopien zur selben Zeit ins Web gepumpt.
Anders als Slammer oder Blaster kann Sobig.F nämlich kaum als sonderlich cleveres Virus gelten: Der Verbreitungsmechanismus ist altbacken und galt seit langem als wenig erfolgsträchtig. Sobig.F trägt einen Dateianhang, den der User erst einmal öffnen muss, bevor das Virus aktiv wird: Das ist das altbekannte Muster von "I Love You".
Viren dieses Strickmusters waren in den letzten zwei Jahren selten erfolgreich: Die PC-Nutzer haben längst verinnerlicht, dass File-Attachments ein echtes Risiko darstellen. Was unverlangt ins Postfach schneit, bleibt immer öfter ungeöffnet. Die hunderttausendfache Verbreitung per Spam-Technik erhöht die Chance auf einen "Erfolg" jedoch offenbar enorm. Anders als bei anderen Viren begann die Verbreitung von Sobig.F nicht zunächst vereinzelt, um dann anzuwachsen - das Virus war einfach mit einemmal da.
Virenexperten glauben, dass der Sinn hinter den Sobig-Viren nichts anderes sei, als herauszufinden, welche Verbreitungsmethoden für Viren den größtmöglichen Erfolg bringen. Damit wäre Sobig eine Art Experimenten-Kette. Darauf deutet auch hin, dass bisher keine der nun sechs Sobig-Versionen im eigentlichen Sinne "schädlich" war: Die Viren tauchten auf, sorgten für Unruhe, Netzwerkprobleme und Irritationen - und verschwanden wieder.
Mehr als ein Nervtöter: Sobig hat es in sich
Sobig.F aber könnte eine neue Phase einleiten. Am zweiten Tag seiner Verbreitung ist die Analyse so weit fortgeschritten, dass Virenexperten eine potenziell schädliche "Ladung" identifizierten. Kaspersky Labs und andere warnen vor einem Trojaner, den der Sobig-Wurm auf dem befallenen Rechner installiere. Der öffne eine "Hintertür" ins System und mache den Rechner von außen angreifbar. Der Virenschreiber könne so die Kontrolle über Rechner und Netzwerke erlangen, von dort aus weitere Attacken starten oder das befallene System schädigen oder zerstören.
Symantec sieht in der durch Sobig verursachten Sicherheitslücke auch eine Methode, das Virus zum einen weiter zu verbreiten, zum anderen durch zusätzliche Funktionen zu modifizieren: "Sobig.F kann beliebige Dateien auf den infizierten Computer herunterladen und sie dort ausführen. Der Programmierer des Wurms hat diese Funktion dazu verwendet, vertrauliche Systemdaten zu stehlen und auf infizierten Computern Spam-Relay-Server einzurichten."
Zu festgesetzten Zeitpunkten - an Wochenenden zwischen 19 und 22 Uhr UTC-Zeit - rufe der Trojaner Informationen aus dem Web ab, um sich selbst zu aktualisieren. Damit steigt das Risiko, dass Sobig.F in Intervallen als "Mutation" neuen Schwung gewinnt.
Die Verbreitungsgeschwindigkeit von Sobig.F hat nach dem ersten Auftauchen am Montagabend und Dienstag merklich abgenommen, gilt aber immer noch als außergewöhnlich hoch. Alle IT-Sicherheitsunternehmen stellten mittlerweile Updates ihrer Virenscanner bereit, mit denen sich Sobig entfernen lässt. Einige bieten zudem "Säuberungstools" zum kostenlosen Download an (siehe Linkverzeichnis).
Die Säuberung und "Impfung" von möglichst vielen Rechnern ist derzeit die einzige Chance, die weitere Verbreitung von Sobig zu unterbinden. Das Virus verbreitet sich unter gefälschten - besser: gestohlenen - Absenderadressen. Das erschwert eine Rückverfolgung zu den befallenen PCs, die an der Verbreitung beteiligt sind.
Frank Patalong
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Tech | RSS |
| alles zum Thema Computersicherheit | RSS |
© SPIEGEL ONLINE 2003
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
