Web

 

Neue Sasser-Varianten trotz Festnahme des Urhebers

11.05.2004

Der am Freitag in Niedersachsen vorläufig festgenommene 18-jährige Schüler (Computerwoche.de berichtete) ist möglicherweise nicht der einzige Urheber von "Sasser". So sind am Wochenende und am Montag die neuen Varianten E und F des Internet-Wurms aufgetaucht. Das deute darauf hin, dass hinter der Verbreitung des Schädlings ein größeres Netzwerk an Virenprogrammierern stecke, sagen Experten wie Mikko Hypponen, Antivirus Research Manager beim Antiviren-Hersteller F-Secure. Zudem sei nicht auszuschließen, dass die Virenschreiber auch für den Schädling "Netsky" verantwortlich sind und außerhalb Deutschlands sitzen. Demnach enthalten die Quellcodes der Würmer Kommentare in russischer Sprache.

Nach Ansicht des niedersächsischen Landeskriminalamts ist es aber durchaus möglich, dass der beschuldigte Niedersachse die neuen Würmer kurz vor seiner Festnahme freigesetzt hat. Auch Microsoft glaubt nicht an die Komplizentheorie: "Die Polizei hat den Urheber von Sasser.E und aller vorherigen Wurm-Versionen verhaftet", sagte Brad Smith, Senior Vice President and General Counsel von Microsoft.

Das ist laut Hypponen zwar möglich, aber sehr unwahrscheinlich. Bei F-Secure seien die ersten Meldungen über Sasser.E zehn Stunden nach Verhaftung des 18-Jährigen eingegangen. Erste Rechner habe Sasser.E etwa drei Stunden und 45 Minuten nach der Verhaftung angegriffen. Ein Wurm wie Sasser verbreite sich normalerweise wesentlich schneller und mache sich in der Regel bereits ein paar Minuten nach der Freisetzung bemerkbar. Das lasse Zweifel an der alleinigen Urheberschaft des Schülers aufkommen.

Symantec hat die erste Kopie des Wurms erst am Sonntag erhalten. Das Unternehmen ist laut Oliver Friedrichs, Senior Manager der Abteilung Security Response, noch dabei, die Daten der weltweit installierten Sensoren des "DeepSight-Alert"-Netzes auszuwerten, um den Ursprung des Wurms zu ermitteln.

Ebenfalls am Freitag hat die Polizei in Baden-Württemberg einen 21-Jährigen aus dem Raum Lörrach festgenommen. Nach Angaben des Landeskriminalamts in Stuttgart hat der arbeitslose Mann bereits gestanden, der Urheber des trojanischen Pferdes "Agobot" alias "Phatbot" zu sein. Er soll mit anderen Hackern zusammengearbeitet und bereits im vergangenen Jahr Unternehmen in den USA und in Großbritannien gezielt angegriffen haben. Dabei seien Schäden in Millionenhöhe entstanden.

Microsoft war in die Ermittlung beider Virenschreiber involviert. Einen Zusammenhang zwischen den Aktivitäten der Beschuldigten gibt es offenbar nicht. (lex)