Sobig.F schlägt Haken – und wird elegant ausgebremst

EnterpriseSicherheit

Eine zweite Angriffswelle konnte rechtzeitig gestoppt werden. Groß wäre der Schaden sowieso nicht gewesen. Aber die Sobig-Bande hat wohl noch mehr in petto.

Die amerikanische Bundespolizei FBI hat einen erneuten Angriff des Sobig.F-Computerwurms offenbar rechtzeitig stoppen können. Nach Angaben der Behörde wurden in Zusammenarbeit mit Experten des US-Ministeriums für Heimatschutz und mehreren Antiviren-Softwareherstellern im Code des Wurms knapp 20 Server identifiziert, von denen aus eine weitere Runde von Überlastungsattacken gestartet werden sollte. Die Server seien vom Netz genommen worden, so das FBI. Kurz zuvor hatte beispielsweise der Softwarehersteller Sophos davor gewarnt, zwischen 21 Uhr und Mitternacht am Freitag Abend werde Sobig.F versuchen, bisher unbekannten Code auf die fraglichen Rechner zu laden und von dort auszuführen. Zu einer zweiten Angriffswelle, die offenbar für Sonntag programmiert war, kam es dann erst gar nicht, stellt Internet Security Systems (ISS) fest.
Obwohl die Dateien, die heruntergeladen werden sollten, direkt vom Autor des Wurms stammen sollen, haben die Ermittlungen nach dem Urheber bisher kaum handfeste Ergebnisse geliefert. Im Zentrum stehen jetzt Hinweise darauf, der Wurm habe von einem PC in der kanadischen Provinz British Columbia seinen Verbreitungsfeldzug gestartet. “Wir haben den Auftrag, denjenigen zu finden, der am anderen Ende der Sobig-Verbreitung an seiner Tastatur sitzt”, so Sprecher der Behörde. Später stellte sich heraus, das der Zusatz-Code nicht das Ziel hatte, Rechner zu stoppen oder Dateien zu zerstören, sondern lediglich eine Porno-Website aufzurufen. Manche Experten sehen darin allerdings nur einen Testlauf des Sobig.F-Urhebers.

Der amerikanische Internet-Dienstleister Easynet bestätigte inzwischen Berichte, wonach das FBI Angaben über einen bestimmten Zugang angefordert habe. Easynet betreibt Zugänge zum Usenet. Dort war in der vergangenen Woche ein Account mit einer Kreditkarte eröffnet worden, die später als gestohlen identifiziert wurde. Wenig später sei dann ein Diskussionsbeitrag in einem Forum veröffentlicht worden, in dem es um pornografische Inhalte geht. Möglicherweise sei der Sobig.F-Wurm in einer Bild-Datei versteckt gewesen und habe sich über das Posting schnell verbreiten können, heißt es bei Easynet.

Währenddessen ist die Zahl der von Sobig.F infizierten Rechner offenbar deutlich zurückgegangen. Der japanische Sicherheitsexperte Trend Micro meldete am Sonntag 85.000 befallene Systeme weltweit. Zuvor waren es noch rund 150.000 gewesen. In Europa sei die Zahl der befallenen Rechner sogar schon um mehr als 50 Prozent gefallen.

Während viele Anwender und Administratoren mit Hilfe von entsprechenden Tools den Wurm identifizieren, ihn löschen und ihre Antiviren-Software auf den neuesten Stand bringen, rufen die Experten weiterhin dazu auf, den UDP-Port 8998 zu schließen. Über diesen Weg kommuniziert der Wurm mit der Außenwelt, sobald er vom Anwender aufgerufen wurde. Die meisten Internet-Serviceprovider hätten den Port aber ohnehin schon geschlossen, heißt es.