Web

 

Sobig.F, Spammer und die nächste Wurmwelle

26.08.2003
Antiviren-Experte Mikko Hypponen glaubt, dass "Sobig.F" zum Anonymisieren von Spam-Mails dient. Neue Varianten des Wurms sind nicht auszuschließen.

MÜNCHEN (COMPUTERWOCHE) - Antivirenexperten rechnen damit, dass der "Sobig"-Urheber in Kürze eine neue Variante des Internet-Wurms freisetzen wird. Von Sobig, dessen erste Version Anfang des Jahres auftauchte, sind bislang sechs Varianten bekannt. Das Design des Wurms sieht vor, trojanische Pferde einzuschleusen, durch die vertrauliche Daten ausspioniert werden können (Computerwoche online berichtete).

Mikko Hypponen

Mikko Hypponen, Chef des Antiviren-Herstellers F-Secure hat allerdings einen anderen Verdacht. Demnach lässt sich die Trojaner-Funktion dazu nutzen, infizierte Rechner zur Anonymisierung von Spam-Mails zu missbrauchen. "Die Aktion ist gut geplant, gut programmiert und gut ausgeführt". Das Motiv des Wurm-Urhebers steht für Hypponen ebenfalls fest: Der Wurm-Urheber protokolliere die Liste der IP-Adressen von infizierten Rechnern. Diese verkaufe er an Spammer, die daraufhin ihre Massen-Mails über die durch Sobig eingerichteten Spam-Relays leiten können.

Dem stimmt Joe Stewart, Chef-Analyst beim IT-Sicherheitsspezialisten Lurhq zu. Bei Sobig handele es sich möglicherweise um den ersten Schädling, der als Gelderwerbsquelle programmiert wurde. Die bedeute, dass es der Virenprogrammierer oder das Entwickler-Team nicht bei der Variante "F" belassen werde. Stewart rechnet allerdings nicht damit, dass eine neue Version schon in Kürze auftauchen wird. Auf Grund der Ermittlungen verschiedener Behörden wie der US-Bundespolizei FBI werde sich der Urheber vorerst zurückhalten. Das FBI werde den Verursacher ohnehin nicht ermitteln können, glaubt der Analyst: "Dieser Bursche weiß ganz offensichtlich, wie man seine Spuren im Internet effektiv verschleiert."

Die Behörden haben unterdessen ermittelt, dass Sobig.F über diverse Porno-Newsgroups freigesetzt wurde. Da der entsprechende Account jedoch mit einer gestohlenen Kreditkartennummer angelegt wurde, führt die Spur an dieser Stelle bislang nicht weiter (Computerwoche online berichtete). Mit einer neuen Wurm-Variante könnte in rund einem Monat zu rechnen sein. Denn am 10. September deaktiviert sich Sobig.F automatisch. (lex)