Sober verstummt Die Neonazi-Mailflut scheint vorüber

Pünktlich zwölf Tage nach Einsetzen der rechtsradikalen Spam-Welle ist Sober verstummt. Seit Mitternacht warten IT-Sicherheitsexperten nun gespannt darauf, ob es Sober gelingt, sich einen neuen, bösartigen Befehlssatz aus dem Web zu laden.


Das "WM-Virus": Lahmgelegt - oder lauert es noch?
[M] DPA, AP

Das "WM-Virus": Lahmgelegt - oder lauert es noch?

Sober.P (auch Sober.O/Sober.Q) ist ein Virus mit eingebautem Terminkalender. Dass er ab Mitternacht verstummte, war so vorgesehen. Direkt nach der NRW-Wahl sollte die dumpf-deutsche E-Mail-Lawine, die in den letzten zwölf Tagen wohl mehrere Millionen Mailnutzer nach Kräften nervte, abreißen.

Das tat sie nahezu abrupt: Kurz nach Mitternacht ebbte die Mailflut ab. Nur wenige vereinzelte Nachzügler landen mitunter jetzt noch in den Postfächern. Das könnte an verstellten Systemuhren liegen. Wenn das Virus nicht mitbekommt, dass es schon Montag ist, kann es sich auch nicht deaktivieren.

Jetzt warten IT-Sicherheitsexperten gespannt darauf, ob Sober auch den zweiten Teil seiner Programmierung ausführen wird: sich von bestimmten Servern im Web neue Schadensbefehle herunterzuladen.

Ende letzter Woche bemühten sich die Experten des Bundesamtes für Sicherheit in der Informationstechnik nach Kräften, die identifizierten Upload-Server stilllegen zu lassen. Das, hofft BSI-Sprecher Michael Dickopf, könnte einigen Erfolg gehabt haben: "Wir können bisher jedenfalls nicht feststellen, dass Sober mit neuen Spams oder Schadensprogrammen aktiv geworden wäre."

Für eine Entwarnung sei es trotzdem noch zu früh. Noch ist der Montag nicht vorbei, noch könnte etwas kommen.

Zeit für das längst fällige Update des Virenschutzes: Die Spamwelle der letzten Tage wurde über Windows-Rechner verbreitet, die sich Anfang Mai mit dem sogenannten WM-Wurm Sober.O infiziert hatten. Nur eine Reparatur und ein Antiviren-Update dieser Rechner würde Sober.P endgültig den Garaus machen.

Entfernung: Nicht ohne Tücken

Eine Infektion mit Sober.O fällt normalerweise nicht auf. Festzustellen ist sie nur mittels eines Virenscans. Greifen Sie dafür auf eines der zahlreichen Tools zurück, die die Virenschutz-Entwickler seit Wochen zur Verfügung stellen (siehe Linkverzeichnis).

Bei Software-Updates und Scans beachten Sie aber die Hinweise der Entwickler: Die eigene Virenschutzsoftware einfach suchen zu lassen, ist nicht hinreichend.

Sober deaktiviert einige Virenscanner und kann wahrscheinlich im normalen, laufenden Windows-Betrieb nicht deaktiviert werden. Die Entfernungstools kommen erfolgreich nur zum Zuge, wenn die Systemwiederherstellung von Windows deaktiviert und der Rechner im sogenannten abgesicherten Modus gestartet wird. Die Anbieter der Entfernungstools bieten auch entsprechende Anleitungen zum Ausdruck.

Mehr zum Thema


© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.