| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
10. Juni 2003
Die meisten Virenschlagzeilen des Wonnemonats Mai gehörten zwei Varianten des Sobig-Wurms. Während sich mit Bugbear.B schon das nächste "Malware-Upgrade" in die News gedrängt hat, könnte es wichtig sein, noch einmal auf die Analyse von Sobig zurückzublicken; denn zwei Dinge sind an der Verbreitung von Sobig.B und .C sehr merkwürdig. Beide Würmer waren so programmiert, dass sie nur für eine sehr kurze Zeitspanne aktiv sind: Sobig.B hatte eine Lebensspanne von etwa 14 Tagen, Sobig.C deaktivierte sich nach rund 10 Tagen. Trotz dieser Zeitbegrenzung hat Sobig.B die Viren-Charts im Mai dominiert – was der am 31. Mai entdeckte Sobig.C für die Juni-Charts bedeuten wird, bleibt abzuwarten.
"Dass in beiden Würmern ein 'Verfallsdatum' eingebaut ist, lässt darauf schließen, dass der Virenautor seine Schadprogramme nur testet, um herauszufinden, welche technischen und psychologischen Tricks am besten funktionieren', folgert jedenfalls Gernot Hacker, Senior Technical Consultant bei Sophos. "Indem die Sobig-Varianten an unterschiedlichen Wochentagen sowie mit leicht variierenden Betreffzeilen und Dateinamen auftreten, könnte der Virenschreiber versuchen herauszufinden, unter welchen Bedingungen sich sein Virus am schnellsten verbreitet. Zudem könnte er beabsichtigen, seine Programmiertechniken für zukünftige Kreationen zu verfeinern."
Die Analysten von Kaspersky Labs bezweifeln zudem, dass die E-Mail-Routinen von Sobig effektiv genug waren, um eine derart schnelle und weit reichende Verbreitung zu erklären, wie sie diese Mail-Würmer erreicht haben. Die Mehrzahl der infizierten Nachrichten sei zudem nicht mit dem (gefälschten) Absender bill@microsoft.com aufgetaucht, die im Sobig-Programmcode verankert ist. Kaspersky Labs folgern daraus, dass der Malware-Autor dem Wurm eine kräftige "Starthilfe" durch die Aussendung mittels Spam-Techniken gegeben hat. Eine gründliche Analyse der Quell-IP-Nummern von Sobig.C-infizierten E-Mails habe diese These untermauert.
Es wäre laut Kaspersky Labs das erste Mal, dass Spam-Technik zum Malware-Versand genutzt wurde. Da nicht anzunehmen ist, dass entweder Spam-Versender selbst Viren in Umlauf bringen wollten oder andererseits ein Viren-Autor ein paar Tausend Dollar an Spam-Versender bezahlt hat, belege dieser Vofall auch erneut die Möglichkeiten, im Internet seine Spuren zu verwischen. Eugene Kaspersky warnt: "Es ist durchaus denkbar, dass Viren-Schreiber ihre irrationale Zerstörungswut mithilfe von Spam-Technik ausleben wollen" – mit kaum zu überschätzenden Konsequenzen: Eine solche Symbiose könne in groß angelegten Attacken zu Datenfluten führen, die (ähnlich wie mancherorts der Slammer-Wurm) Netzwerkkapazitäten in die Knie zwingen oder sogar das Internet in zeitweilig (faktisch) getrennte Segmente zerteilen könnten.
|