Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.08.2003 - 

Experten warnen bereits vor nächster Attacke

Sobig-Massenplage legte Netze lahm

MÜNCHEN (ave) - Eine neue Variante des Sobig-Wurms hat sich in rasantem Tempo über das Internet verbreitet. Sicherheitsspezialisten ist es zu verdanken, dass Sobig.F - abgesehen von einer erhöhten Belastung von Netzwerken und Mail-Gateways - bislang keinen größeren Schaden anrichten konnte. Experten befürchten allerdings weitere, gefährlichere Varianten.

Die Virenflut reißt nicht ab: Unmittelbar nach der glimpflich abgelaufenen Blaster-Epidemie warnten Antivirenexperten vor Sobig.F, der sich schneller verbreitete als jeder andere Internet-Wurm davor. Am ersten Tag seines Erscheinens registrierten beispielsweise die Spezialisten von Message Labs, einem Anbieter von Managed E-Mail-Services, mehr als eine Million mit dem Schädling infizierte E-Mails. Betroffen waren einmal mehr Rechner mit Microsoft-Betriebssystemen.

Dabei hat Sobig.F einen neuen Negativrekord aufgestellt. Nach Einschätzung des Antivirenherstellers Kaspersky Labs ist Sobig.F mit Abstand der Schädling mit der weltweit größten Verbreitung. Das belegen konkrete Zahlen des World Virus Tracking Center des Herstellers Trend Micro, das global über 670000 infizierte Systeme zählte. Über die Hälfte (353900) davon entfallen auf die USA, mit rund 25000 betroffenen Rechnern liegt Deutschland auf Platz vier. Inzwischen ist die Zahl der Sobig-F-verseuchten Mails wieder gesunken. In der Hochphase war laut Message Labs jede siebzehnte E-Mail infiziert. Eine Woche nach dem ersten Auftauchen des Schädlings war nur noch jede 48te Nachricht befallen. "Das ist immer noch sehr viel", gibt Paul Woods, Principal Information Security Analyst bei Message Labs, zu Bedenken. Im Juli 2003 war im Schnitt jede 166te Mail verseucht. Der Experte will daher noch keine Entwarnung geben. Die gibt es wohl erst am 10. September: Dann hört Sobig.F von selbst auf, sich weiter zu versenden.

FBI verhindert Schlimmeres

Dass sich der Wurm so schnell verbreiten konnte, liegt an seiner im Vergleich zu früheren Varianten höheren Intelligenz: Virenfachmann Woods berichtet, dass Sobig.F einen "sehr effizienten Mechanismus" besitzt, der es dem Wurm erlaubt, bis zu acht Mails gleichzeitig zu versenden. Dazu benutzt er eine eigene, Multi-Threading-fähige Simple-Mail-Transport-Protocol-(SMTP-)Engine. Frühere Sobig-Versionen seien dazu nicht in der Lage gewesen, berichtet Woods.

Die Spezialisten von Internet Security Systems weisen zudem darauf hin, dass der Schädling eine Hintertür auf befallenen Rechnern einrichtet. Der oder die Verfasser könnten somit auch später noch auf infizierte Computer zugreifen. Überdies sahen die Programmierer von Sobig.F vor, dass damit infizierte Rechner am Freitag, den 22. August, bestimmte Server kontaktieren, um weitere Software, wahrscheinlich einen Trojaner, herunterzuladen. Die US-Bundespolizei FBI kam dem jedoch zuvor: Gemeinsam mit Sicherheitsexperten machten sie etwa 20 dafür in Frage kommende Server ausfindig und blockierten den Zugriff. Dadurch konnte Schlimmeres verhindert werden. Dennoch verursachte Sobig.F enorme Schäden: Nach Angaben von Gernot Hacker, Senior Technical Consultant beim Antivirenspezialisten Sophos, wurde das Internet durch die von dem Wurm erzeugte Flut an Mails "enorm verlangsamt". Zahlreiche Mail-Gateways brachen unter der Last zusammen. Die "New York Times" musste sämtliche Computer ihrer Zentrale in Manhattan abschalten, um der Plage Herr zu werden.

Bereits in der Woche zuvor hatte es prominente Opfer von Computer-Würmern gegeben: Das Intranet des Navy Marine Corps der amerikanischen Streitkräfte war drei Tage lang überlastet, weil zehntausende mit dem Blaster-Nachfolger "Nachi" infizierte Rechner ständig versuchten, die Update-Seite von Microsoft im Internet zu erreichen. Das beeinträchtigte die Netz-Performance, bis der Schädling entfernt und die notwendigen Patches aufgespielt waren. Blaster selbst hatte etwa die Hälfte des telefonischen Reservierungssystems und einige Check-in-Terminals von Air Canada befallen, was zum Teil zu Verzögerungen oder Ausfällen von Flügen führte.

Das FBI geht unterdessen Spuren nach, die auf das Usenet als Ursprungsort für Sobig.F hindeuten. Der US-Provider Easynews berichtet, dass in sechs verschiedenen Porno-Newsgroups Beiträge auftauchten, die sich auf ein daran angehängtes, vermeintliches Bild bezogen. Das Anklicken dieser Datei löste die Installation des Wurms aus. Nach Angaben von Easynews war das zu den Kommentaren gehörige Benutzerkonto nur wenige Minuten vor den Einträgen eröffnet worden. Bei der Anmeldung wurde eine gefälschte Kreditkartennummer benutzt.

Experte Woods vermutet, dass hinter der Sobig-Familie mehrere Personen stecken, die finanzielle Unterstützung von Spam-versendenden Organisationen erhalten. Der Spezialist befürchtet, dass diese in Kürze eine neue, noch gefährlichere Sobig-Variante in Umlauf bringen wird. (ave)

Abb: Sobig.F war kaum zu stoppen

Innerhalb weniger Tage schaffte es die neueste Sobig-Variante, mehr Computer weltweit zu befallen als jeder andere elektronische Schädling zuvor. Quelle: Trend Micro