Sober-Welle Wie man Wurm- und Virenversender wird

Knapp eine Woche nach Einsetzen der neuesten Sober-Virenwelle entdecken viele PC-Nutzer, Unternehmen und Behörden, wie Sober beginnt, ihren Ruf zu schädigen: Sober kapert E-Mail-Verzeichnisse und macht die Opfer scheinbar zu Viren-versendenden Tätern.


Ende Oktober 2003 zog die erste Variante des Sober-Virus im Netz ihre Kreise. Inzwischen gibt es so viele davon, dass selbst den IT-Sicherheitsunternehmen hier und da die Zählung durcheinander geraten scheint: Während Computer Associates die aktuelle Variante mit dem Buchstaben W benennen, hält Symantec den Schädling für Variante X. Kaspersky und F-Secure sind schon bei Y, Sophos macht eine Variante Z aus, und Trend Micro schließlich sind längst die Buchstaben des Alphabets ausgegangen: Hier ist Sober schon im "zweiten Durchgang", mit der aktuellen Kennzeichnung "Sober.AG".

Ein Riesenhaufen Würmer: Es wuselt wieder mächtig im Internet
DPA

Ein Riesenhaufen Würmer: Es wuselt wieder mächtig im Internet

Doch wie die "Malware" (verkürzend für "schädliche Software") nun mit Nachnamen heißt, ist letztlich auch völlig egal: Wo Sober drauf steht, steckt Ärger drin. Auch als Variante WXYZAG ist und bleibt Sober einer der ärgerlichsten, erfolgreichsten Viren im Umlauf.

Das liegt nicht daran, dass das Programm so überaus kraftvoll und ausgefuchst wäre: Es ist nur außerordentlich gut verpackt. Auch die aktuelle Variante kommt mit einer Auswahl von Lock-Betreffzeilen und Textnachrichten, die gut genug formuliert sind, um den Empfänger zu überzeugen, durch einen Mausklick das Virus zu aktivieren. Eine eigentlich primitive Methode, deren Zeit schon abgelaufen schien: Ohne klickende "Mithilfe" des Empfängers wird Sober nicht aktiv.

Also hat sich der Virenautor einiges einfallen lassen, um den PC-Nutzer genau dazu zu bringen.

Erste Varianten des neuesten Sober-Abkömmlings maskierten sich als Post vom BKA und drohten mit Strafanzeigen und ähnlichem ("Sie besitzen Raubkopien", "Ermittlungsverfahren wurde eingeleitet"). Wer zuckt, wer klickt da nicht?

Inzwischen gibt es viele Varianten, von "Sehr geehrter Ebay-Kunde" bis hin zur Gratulationsmail von Günther Jauch: Ist doch schön, wenn man erfährt, dass man bald Kandidat bei "Wer wird Millionär?" wird.

Mit Speck, weiß der Virenautor, fängt man eben Mäuse. Oder mit Magerkost: In einer englischen Variante verspricht Sober - schon fast klassisch für einen Mail-Wurm - Ansichten der hauptberuflichen Erbin Paris Hilton. Eine vollständige Auflistung aller möglichen "Masken", mit denen sich Sober derzeit verkleidet, gibt es hier.

Auf dem befallenen Rechner selbst verursacht das Virus keine besonderen Schäden (wenn man davon absieht, dass durch den Mailversand die Performance des Rechners sinkt). In erster Linie greift es E-Mail-Adressen ab und sorgt so für seine wahrlich massenhafte Weiterverbreitung. So sorgt es zum einen für Probleme in Netzwerken, zum anderen aber macht es die befallenen Rechner zu Virenversendern.

Und da droht mitunter Ärger - wenn auch meist nicht dem Versender selbst, sondern seinen geschäftlichen und privaten Kontakten. Denn zu allem Überfluss maskiert sich Sober sehr gut: Auf den ersten Blick sind nicht die wirklich befallenen Rechner die Absender der Virenmail, sondern die dort "abgefischten" E-Mail-Adressen. Im Klartext: So gut wie nie ist der angebliche Absender eines Virus das auch wirklich.

Tipp: Im August 2003 erklärte Dirk Kollberg von Network Associates im Interview mit SPIEGEL ONLINE haarklein, wie es dazu kommen kann, dass man plötzlich als Spam- oder Virenversender dasteht. Das Interview hat seitdem nichts von seiner Aktualität verloren. Sollten Sie Ärger mit jemandem bekommen, der Sie für einen Virenversender hält, fügen Sie ihrer Erklärung den Link zum Interview bei.
Die Maskerade hat noch andere unangenehme Nebeneffekte: Weil die Viren- und Spamfilter an Mail-Gateways eingehende Virenpost abweisen und dem angeblichen Absender darüber eine Nachricht zukommen lassen, kommt es zu einer Art virtuellem Mail-Ping-Pong, das die Netzwerke extrem belasten kann. Privatleute hingegen sind mitunter richtig geschockt, wenn sie über solche "Bouncer"-Benachrichtigungen erfahren, dass ihr Rechner angeblich Viren versendet.

Das kann im Einzelfall sein, das Gros der Empfänger solcher Benachrichtigungen aber hat mit dem Versand von Viren nichts zu tun. Wer auf Nummer sicher gehen will, sollte seinen Rechner prüfen. Alle Anbieter von Virenschutzsoftware haben auf die neuesten Sober-Varianten reagiert und bieten teils Tools für seine Entfernung, immer aber ein Update ihrer Software an. Wer über keine Virenschutz-Software verfügt, sollte das schnellstmöglichst ändern: Hier gibt es sogar eine zum Download, die für Privatanwender kostenlos ist.

Frank Patalong

P.S.: Liebe Leserbrief-schreibende Apple- und Linuxfans: Ja, wir wissen, dass von solchen Viren in der Regel nur Windows-Systeme betroffen sind, und unsere Leser wissen das auch. Weit über 90 Prozent aller Virenprobleme betreffen nur die Betriebssysteme des Marktführers, der auch über 90 Prozent der Marktanteile hält: Die Masse macht ihn besonders attraktiv für Virenschreiber.

© SPIEGEL ONLINE 2005
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.