I.Worm.Sobig.F - Eine Chronologie

19. September 2003, 10:29
12 Postings

Die Geschichte der bisher massivsten userbasierenden Virenattacke in Österreich

Zwar wird das Virus Sobig.F sein Treiben bereits mit 10. September freiwillig beenden, denn an diesem Tag stoppt er seine Funktion sich zu reproduzieren, doch ist es ihm schon nach nur drei Tagen gelungen, sich zum "König" der Viren zu krönen.

Ein erstes Resümee

Grund genug um ein erstes Resümee zu ziehen. Neben jenen Daten welche CIRCA, dem Computer Incident Reseach Coordination Austria Netz (also dem ersten Prototypen des österreichweiten Virenfrühwarnsystems) geliefert hat, liegen auch bereits die von fünf großen Providern Österreichs vor.

Die nackten Zahlen sprechen für sich

Noch nie hat ein Virus derart massiv in Österreich zugeschlagen. Der erste von Ikarus Software in Österreich registrierte Sobig.F schlug am Dienstag den 19. August um 10:12 MEZ auf dem Gateway eines der größten österreichischen Providers auf. Registriert wurde das Virus allerdings zum ersten mal schon Montag Abends gegen 21 Uhr in den USA.

460 000 infizierten Mails pro Stunde

Gegen 14 Uhr war allerdings auch hier zu Lande alles klar. Mit einem bisher noch nie erreichten Spitzenwert von rund 460 000 infizierten Mails pro Stunde, allein in Österreich, fegte der Sobig.F an die Spitze aller eMail basierenden Virenattacken. Nur prozessbasierende Viren wie Nimda, CodeRed , Slammer oder der jüngst aufgetretene Blaster alias Lovesun erreichen oder übertreffen diesen Wert.

24 Stunden später ist noch kein Abklingen in Sicht. Mit rund 5,4 Millionen registrierten Infektionen von Dienstag auf Mittwoch hinterlässt der Sobig-Wurm eine unübersehbare Spur.

Trotz seines simplen Auftretens und seiner immer noch User-Abhängigen Reproduktionsmechanismen gelingt es dem Virus das Rekordergebnis des ersten Tages noch zu schlagen.

Im Messzeitraum Mittwoch auf Donnerstag toppt der Sobig mit knapp 6,4 Millionen infizierten eMails den Rekord des Vortags - Tendenz steigend. Die ersten Stunde des Freitag vormittags lassen keinen abklingenden Trend erkennen, im Gegenteil weisen die Hochrechnung der ersten Stunden noch eine höhere Zahl erwarten. Hoffen lässt jedoch die Tatsache, dass Freitag schon viele Leute früher als unter Woche ihre PCs abdrehen und dem Virus somit die Grundlage sich zu verbreiten entzieht.

Glück im Unglück

Laut Ikarus Chef Pichlmayr spiegeln diese Zahlen zwischen 60 und 70 Prozent der eMails, die über eMail - Gateway´s in Österreich ansässiger Provider verschickt werden, wieder. Er geht jedoch auch davon aus, dass der tatsächliche Wert noch um einiges höher liegt. Glück im Unglück, so Pichlmayr, dass die Funktion des Wurms sich innerhalb von Unternehmensnetzen über Netzlaufwerke zu verbreiten, als zu fehlerhaft erwiesen habe, ansonsten wären diese Zahlen vermutlich noch um einiges höher.

Bei den mittlerweile knapp 180 000 bei Ikarus "aufgeschlagenen" Sobig-Mails liefern nach Stichproben in den Mailheadern, die Spitzenwerte eher Privatanwender als Firmen. Mit rund 40 Prozent halten Firmen aber immer noch einen erstaunlichen hohen Anteil der Betroffenen.

Ein simpler Mailfilter

Obwohl ein simpler Mailfilter Mails mit den Attachment *.SCR bzw. *.PIF keine Chance lassen würde, wundert sich Joe Pichlmayr, Chef des heimischen Virenjägers Ikarus Software, kopfschüttelnd über diese Zahlen. Verantwortlich macht er dafür, dass Zusammentreffen mehrerer Faktoren. Neben heimkehrenden Urlaubern, die zuerst ihre Mails abrufen und erst dann ihren Virenscanner aktualisieren, sieht er vor allem die Masse der bereits in Umlauf befindlichen Viren als hauptverantwortlich für das nach wie vor steigende denn sinkende - und somit eigentliche atypischen - Outbreak-Verhalten.

Neue Technologie

Das ein Virus in derartiger Kürze in die Millionen gehen konnte liegt vor allem an der vom Virus neu verwendeten Technologie sich gleichzeitig an fast alle gefunden eMail Adressen zu versenden. Dies führt dazu, dass das Virus in sehr kurzer Zeit auf hunderttausenden von Rechnern aktiv wird und dann - einer Lawine gleich - nicht mehr kurzfristig zu stoppen ist.

Probleme machen in Österreich vor allem auch PCs deren User offensichtlich gar nicht wissen, dass Sie vom Sobig.F befallen sind. Infizierte PCs die über Nacht "online" waren, haben dazu geführt, dass selbst in den an sich "ruhigeren" Nachtstunden tausende Sobig-Mails verschickt wurden.

Keine explizite Schadensfunktion

Glück im Unglück sehen die Experten von Ikarus Software in der Tatsache, dass das Virus keine explizite Schadensfunktion enthält. Bei mittlerweile rund 12 Millionen Mails mit einer durchschnittlichen Größe von 100 kb pro Mail ist aber allein die in Bewegung gesetzte Datenmenge enorm.

Auch international bestätigt sich dieser Trend. Neben noch nie erreichten Spitzenwerten in fast allen EU Staaten trifft die USA und den Fernen Osten naturgemäß am stärksten.

Kommt die Entlastung?

Spürbare Entlastung wird voraussichtlich erst das nahe Wochenende bringen, an dem die Masse der Anwender in den Büros Ihre PCs nicht in Betriebt nimmt womit sich die Infektionen auf den Privatbereich beschränken.

Gespannt sind die Experten ob der Montag noch einmal ein derartiges Ansteigen an Infektionen mit sich bringt oder die Infektionsrate endlich zu sinken beginnt.(red)

  • Bild nicht mehr verfügbar
Share if you care.