Sobig.F, so groß wie keiner vorher

Management

IT-Administratoren und Antiviren-Experten sind noch mit Blaster-Aufräumarbeiten beschäftigt, da kommt Sobig in der sechsten Auflage. Er ist schnell und raffiniert. Aber das ist noch nicht alles …

Die Antivirus-Experten schlagen Alarm. Sobig.F, die sechste Variante des Wurms, verbreitet sich mit atemberaubender Geschwindigkeit und droht Mailserver weltweit zum Absturz zu bringen. Seit Montag ist der Mail-Wurm unterwegs, einen Tag später registrierte der Mail-Filtering-Spezialist Message-Labs schon 1 Million infizierte Mails innerhalb eines 24-Stunden-Zeitraums. Deren Konkurrent Postini nennt sogar die Zahl von 2,6 Millionen Sobig-Mails.
“Das ist der schnellste Wurm, den ich je gesehen habe”, meinte Scott Petry von Postini. Normalerweise verweigert der Dienstleister täglich nur rund einer halben Million Mail den Weitertransport zu den Empfängern. Der 19. August sei der “virenreichste Tag” in der Firmengeschichte von Message Labs gewesen, ergänzt Paul Wood, Chief Information Security Analyst bei dem drei Jahre alten Managed Service Provider.

Inzwischen sei jede 17. Mail verseucht. Noch über Wochen hinweg könne Sobig.F so weitermachen, warnt Wood im Gespräch mit silicon.de. Schon bald könne ein Verhältnis von 1:14 erreicht sein. An einem einzigen Tag verursacht der Wurm so viel Virus-Alarme wie sonst in drei Wochen anfallen. Dann ist nur eine von durchschnittlich 166 Mails verseucht. Selbst Klez.H brachte es zu seinen besten Zeiten nur auf eine Durchseuchung von 1:138. Schon jetzt habe sich Sobig.F den ersten Platz in der Malware-Hitliste erkämpft, rechnen die Experten von Kaspersky Labs vor: 92 Prozent aller digitalen Schädlinge stammen von der F-Variante ab.

Auch AOL, der weltgrößte Internet-Provider im Consumer-Bereich, stöhnt unter der Sobig.F-Last: Normalerweise werden täglich die Attachments von rund 11 Millionen Mails gescannt. Am Dienstag waren es 31 Millionen, von denen 11,5 Millionen tatsächlich mit Sobig.F infiziert waren.

Dabei hat Sobig.F von seinem Autor keine außergewöhnlichen Parameter verpasst bekommen: Der Wurm verwendet zu seiner Weiterverbreitung nicht nur die Adressen aus den Kontakten des Mail-Clients, sondern auch diejenigen auf Websites oder in anderen Verzeichnissen des befallenen Rechners. Allerdings muss der Empfänger den Dateianhang tatsächlich eigenhändig öffnen, um den Wurm zu aktivieren. Außerdem bringt Sobig.F eine verbesserte SMTP-Engine (Simple Mail Transport Protocol) mit, die Threading beherrscht, also mehrere Mails parallel verschicken kann. Die Bugs früherer Sobig-Versionen wurden ausgemerzt, wodurch die Mail- und Viren-Scanner schlechter greifen.

Für großes Aufsehen sorgt Paul Wood aber nun mit seinem Hinweis, dass es eine auffällige Überschneidung der IP-Adressen gebe: Sobig.F wird in einem Großteil der Fälle von Servern verschickt, von denen momentan auch ein besonders großer Teil des Spam-Aufkommens stammt. Woods Vermutung: Der Wurm nutzt Spamming-Strukturen, um sich gleich nach seiner Geburt besonders schnell auszubreiten. Zu dieser Entwicklung, die Message Labs erst seit zwei oder drei Monaten in dieser Deutlichkeit beobachtet, trägt nach Woods Ansicht die Verbreitung von Breitband-Verbindungen bei den Heimanwendern bei. Hier laufen immer mehr Rechner mit einer Flatrate durch, die für Spammer – und Viren-Versender gleichermaßen – ein gefundenes Fressen sind.

Ohnehin scheint es inzwischen unmöglich, dass Spammer ihre tägliche Mailflut von durchschnittlich 130 bis 140 Millionen über eigene Rechner verschicken, meint Wood. In der Regel verwenden sie dafür mit Viren geschaffene Hintertürchen auf fremden Rechnern – und die macht sich jetzt eben auch Sobig.F zunutze.

Zu einem weiteren Problem kommt es mit der schnell wachsenden Mail-Schwemme jetzt aber auch durch die Auto-Responder der Mail-Filtering-Gateways. Abgelehnte Mails werden dort in der Regel mit einem entsprechenden Hinweis zurückgeschickt, um den Absender zu informieren, dass seine Nachricht modifiziert werden muss oder auf anderem Weg zum Empfänger geschickt werden sollte. Weil aber die Absender-Adressen der Sobig.F-Mails nicht nur gefälscht sind, sondern auch gültige Adressen unbeteiligter Personen aufweisen können, stiftet der Wurm zusätzliche Verwirrung. Sophos rät deshalb schon, den Auto-Responder vorübergehend zu deaktivieren.

Sobig.F wird sich in knapp drei Wochen, am 10. September, zwar selbst deaktivieren – bis dahin machen die Filter-Spezialisten allerdings wenig Hoffnung, Sobig.F zu stoppen. “Die Tatsache, dass der Viren-Schreiber jeden Sobig-Virus mit einer Art ‘Verfallsdatum’ versieht, zeigt nur, dass es sein erklärtes Ziel ist, in absehbarer Zeit eine verbesserte Variante in Umlauf zu bringen”, so Alex Shipp, Senior Anti-Virus Technologist bei MessageLabs. Und raffinierterweise fügt der Wurm in seine Mails einen X-Header-Eintrag ein, mit dem eine Freigabe durch einen Virenscanner vorgaukelt: “X-MailScanner: Found to be clean”.