Wettlauf mit einem Wurm
Sicherheitsexperten verhinderten in letzter Minute einen Angriff des Computervirus Sobig.F.
Von Matthias Schüssler
Zürich. – Sobig.F ist gefährlicher als bisher angenommen. Das Anfang Woche in Umlauf gesetzte Computervirus verstopft durch seine massenhafte Vervielfältigung nicht nur die E-Mail-Systeme weltweit; es versucht auch, sich automatisch per Internet zu aktualisieren, um weiteren Schaden anzurichten. Sicherheitsunternehmen fanden heraus, dass Sobig.F in der Lage ist, Programme auf befallene Computer zu laden und dort auszuführen. Laut Symantec, einem Hersteller von Antivirensoftware, will der Programmierer des Wurms diesen dazu verwenden, vertrauliche Informationen zu stehlen und die Computer der Opfer zur Weiterverbreitung von unerwünschten Werbemails, so genannten Spams, zu missbrauchen.
Im Programmcode des Virus ist eine Liste von zwanzig Adressen von Webservern in den USA, in Südkorea und Kanada eingebaut, die dem Virus für seine Downloads hätten dienen sollen. Sobig.F versuchte am Freitag und am Sonntag, jeweils zwischen 21 Uhr und 24 Uhr, mit diesen so genannten Master-Servern Kontakt aufzunehmen.
Die Zeit arbeitete für Sobig.F
Da diese Programmcodes erst am Donnerstag entdeckt wurden, blieben nur 24 Stunden, um Sobig seine Nachschubwege zu versperren. Trotz der kurzen Zeit gelang es dem amerikanischen FBI und Microsoft, am Freitagabend, knapp vor dem Beginn der Updateversuche, 18 der 20 Masterserver zu deaktivieren. Der eine der zwei verbleibenden Masterserver wurde offenbar von seinem Benutzer selbst abgeschaltet, und der letzte brach unter dem Ansturm der Downloadbegehren zusammen.
Inzwischen ist auch klar, wie der Urheber von Sobig.F seinen Schädling in Umlauf gebracht hat. Der in Phoenix, Arizona, ansässige Internetprovider Easynews.com gab am Freitagabend bekannt, das FBI habe per Vorladung die Herausgabe von Benutzerinformationen erwirkt: Ein Kunde mit dem Pseudonym Misiko hatte mit einer gestohlenen Kreditkarte bei Easynet ein Konto eröffnet und das Virus in mehreren Foren lanciert.
Der Kreditkartendiebstahl sowie die Updatefunktion in Sobig.F deuten laut den Ermittlern darauf hin, dass der Urheber des Virus in Kreisen von Spammern zu suchen ist – Leuten, die ihr Geld mit dem Massenversand von E-Mails machen.