"WM-Wurm" schaltet Viren-Schutzprogramme und Firewall ab

4. Juli 2005, 10:50
9 Postings

Schädling Sober.O legte WM-OK 2006 auch am Mittwoch lahm - Hinweise zur Entfernung des Wurms online

Der E-Mail-Wurm Sober.O hat sich auch am Mittwoch rasant im Internet verbreitet und das Organisationskomitee für die Fußball-Weltmeisterschaft in Deutschland unerwartet hart getroffen. Die Massenmail-Attacke legte das Computersystem des OK in Frankfurt am Main den zweiten Tag in Folge lahm. Erst am Mittwochnachmittag funktionierten Internet und E-Mail wieder einwandfrei, wie OK-Sprecher Jens Grittner mitteilte.

Neuartige Funktionen

Die neue Version von "Sober" enthält offenbar neuartige Funktionen, die Dateien schädigen oder löschen können. Die Mailfächer der WM-Organisatoren waren deshalb seit Dienstag wegen Überlastung nicht erreichbar; auch konnte das OK nicht nach außen kommunizieren. Nach Angaben Grittners gingen weiterhin eine Million Mails pro Tag ein. Mittlerweile arbeite der Server aber dennoch wieder normal. Die infizierte Mail täuscht den Empfängern vor, dass sie WM-Karten gewonnen hätten, und fordert sie auf, die angehängte Datei zu öffnen. Wird der verseuchte Anhang angeklickt, werden Mails an sämtliche auf dem Computer gespeicherte Adressen geschickt.

Schädigt auch Dateien

Nach Angaben des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) schädigt W32.Sober.O(at)mm entgegen ersten Annahmen auch Dateien. Wie BSI-Sprecher Michael Dickopf in Bonn sagte, schaltet der Wurm einige Viren-Schutzprogramme ab und löscht darin Dateien. Betroffen sei Software der Firma Symantec, deren Aktualisierung verhindert werde. Zudem werde der Start verschiedener Entfernungs-Tools blockiert. Die Hersteller hätten aber bereits reagiert und die Namen ihrer Tools geändert.

Deaktiviert die Firewall

Außerdem deaktiviert Sober laut BSI die Firewall des Betriebssystems Windows XP und das automatische Windows Update. Diese Schadensfunktion trete erst nach Neustart des infizierten Rechners auf, sagte Dickopf. Nach Entfernung des Wurms müssten diese Funktionen wieder eingeschaltet werden. Die Verbreitung der neuen Sober-Variante im Internet schätzte Dickopf als "sehr hoch" ein. Allein im Bereich der deutschen Bundesbehörden seien seit Dienstag rund 400.000 infizierte Mails abgefangen worden.

Gezielt?

Ob Sober.O eine gezielte Attacke auf das WM-OK darstellt, ist allerdings bei IT-Experten umstritten. Christoph Hardy von der Sicherheitsfirma Sophos sagte, die Überlastung der OK-Rechner komme möglicherweise allein von Bounce-back-Mails, die ihre Empfänger nicht erreichten und automatisch bei den WM-Organisatoren landeten, die unter den gefälschten Absender seien.

"Eelativ raffiniert"

Hardy bezweifelte auch die Darstellung des BSI über Schadfunktionen. Der jüngste Sober-Vertreter sei zwar "relativ raffiniert" im Suchen nach Adressen und Selbstversenden, die von der Bonner Behörde beobachteten Fähigkeiten könne Sophos aber nicht bestätigen. Sober sei in jedem Fall ein Wurm und kein Virus, betonte der Sophos-Sprecher. Würmer sind kleine Programme, die sich in Computern einnisten, replizieren und selbst versenden, aber anders als Viren keine Dateien angreifen. Hardy sagte, möglicherweise sortiere Sober Mailadressen der Anti-Virenhersteller aus und verhindere so deren Information und Reaktion.

Zur Herkunft von Sober.O konnte Hardy nur spekulieren. Das Thema Fußball-WM deute aber auf einen Urheber im deutschsprachigen Raum. "Da hat sich jemand das Wurm-Kit besorgt", glaubt Hardy. Wie auch die anderen Sober-Varianten verschickt sich Sober.O an Mailadressen mit den Domain-Endungen .de, .at, .li und .ch automatisch in deutscher Sprache.(APA)

Hinweise zur Entfernung des Sober-Wurms sind unter der Internetadresse www.bsi.de abrufbar

Nachlese

WM-Computerwurm auch in Österreich weit verbreitet

Share if you care.