Sobig.F schlägt Haken – und wird elegant ausgebremst

Die amerikanische Bundespolizei FBI hat einen erneuten Angriff des Sobig.F-Computerwurms offenbar rechtzeitig stoppen können. Nach Angaben der Behörde wurden in Zusammenarbeit mit Experten des US-Ministeriums für Heimatschutz und mehreren Antiviren-Softwareherstellern im Code des Wurms knapp 20 Server identifiziert, von denen aus eine weitere Runde von Überlastungsattacken gestartet werden sollte. Die Server seien vom Netz genommen worden, so das FBI. Kurz zuvor hatte beispielsweise der Softwarehersteller Sophos davor gewarnt, zwischen 21 Uhr und Mitternacht am Freitag Abend werde Sobig.F versuchen, bisher unbekannten Code auf die fraglichen Rechner zu laden und von dort auszuführen. Zu einer zweiten Angriffswelle, die offenbar für Sonntag programmiert war, kam es dann erst gar nicht, stellt Internet Security Systems (ISS) fest.
Obwohl die Dateien, die heruntergeladen werden sollten, direkt vom Autor des Wurms stammen sollen, haben die Ermittlungen nach dem Urheber bisher kaum handfeste Ergebnisse geliefert. Im Zentrum stehen jetzt Hinweise darauf, der Wurm habe von einem PC in der kanadischen Provinz British Columbia seinen Verbreitungsfeldzug gestartet. “Wir haben den Auftrag, denjenigen zu finden, der am anderen Ende der Sobig-Verbreitung an seiner Tastatur sitzt”, so Sprecher der Behörde. Später stellte sich heraus, das der Zusatz-Code nicht das Ziel hatte, Rechner zu stoppen oder Dateien zu zerstören, sondern lediglich eine Porno-Website aufzurufen. Manche Experten sehen darin allerdings nur einen Testlauf des Sobig.F-Urhebers.

Der amerikanische Internet-Dienstleister Easynet bestätigte inzwischen Berichte, wonach das FBI Angaben über einen bestimmten Zugang angefordert habe. Easynet betreibt Zugänge zum Usenet. Dort war in der vergangenen Woche ein Account mit einer Kreditkarte eröffnet worden, die später als gestohlen identifiziert wurde. Wenig später sei dann ein Diskussionsbeitrag in einem Forum veröffentlicht worden, in dem es um pornografische Inhalte geht. Möglicherweise sei der Sobig.F-Wurm in einer Bild-Datei versteckt gewesen und habe sich über das Posting schnell verbreiten können, heißt es bei Easynet.

Währenddessen ist die Zahl der von Sobig.F infizierten Rechner offenbar deutlich zurückgegangen. Der japanische Sicherheitsexperte Trend Micro meldete am Sonntag 85.000 befallene Systeme weltweit. Zuvor waren es noch rund 150.000 gewesen. In Europa sei die Zahl der befallenen Rechner sogar schon um mehr als 50 Prozent gefallen.

Während viele Anwender und Administratoren mit Hilfe von entsprechenden Tools den Wurm identifizieren, ihn löschen und ihre Antiviren-Software auf den neuesten Stand bringen, rufen die Experten weiterhin dazu auf, den UDP-Port 8998 zu schließen. Über diesen Weg kommuniziert der Wurm mit der Außenwelt, sobald er vom Anwender aufgerufen wurde. Die meisten Internet-Serviceprovider hätten den Port aber ohnehin schon geschlossen, heißt es.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago