Sobig.F schlägt Haken – und wird elegant ausgebremst

Die amerikanische Bundespolizei FBI hat einen erneuten Angriff des Sobig.F-Computerwurms offenbar rechtzeitig stoppen können. Nach Angaben der Behörde wurden in Zusammenarbeit mit Experten des US-Ministeriums für Heimatschutz und mehreren Antiviren-Softwareherstellern im Code des Wurms knapp 20 Server identifiziert, von denen aus eine weitere Runde von Überlastungsattacken gestartet werden sollte. Die Server seien vom Netz genommen worden, so das FBI. Kurz zuvor hatte beispielsweise der Softwarehersteller Sophos davor gewarnt, zwischen 21 Uhr und Mitternacht am Freitag Abend werde Sobig.F versuchen, bisher unbekannten Code auf die fraglichen Rechner zu laden und von dort auszuführen. Zu einer zweiten Angriffswelle, die offenbar für Sonntag programmiert war, kam es dann erst gar nicht, stellt Internet Security Systems (ISS) fest.
Obwohl die Dateien, die heruntergeladen werden sollten, direkt vom Autor des Wurms stammen sollen, haben die Ermittlungen nach dem Urheber bisher kaum handfeste Ergebnisse geliefert. Im Zentrum stehen jetzt Hinweise darauf, der Wurm habe von einem PC in der kanadischen Provinz British Columbia seinen Verbreitungsfeldzug gestartet. “Wir haben den Auftrag, denjenigen zu finden, der am anderen Ende der Sobig-Verbreitung an seiner Tastatur sitzt”, so Sprecher der Behörde. Später stellte sich heraus, das der Zusatz-Code nicht das Ziel hatte, Rechner zu stoppen oder Dateien zu zerstören, sondern lediglich eine Porno-Website aufzurufen. Manche Experten sehen darin allerdings nur einen Testlauf des Sobig.F-Urhebers.

Der amerikanische Internet-Dienstleister Easynet bestätigte inzwischen Berichte, wonach das FBI Angaben über einen bestimmten Zugang angefordert habe. Easynet betreibt Zugänge zum Usenet. Dort war in der vergangenen Woche ein Account mit einer Kreditkarte eröffnet worden, die später als gestohlen identifiziert wurde. Wenig später sei dann ein Diskussionsbeitrag in einem Forum veröffentlicht worden, in dem es um pornografische Inhalte geht. Möglicherweise sei der Sobig.F-Wurm in einer Bild-Datei versteckt gewesen und habe sich über das Posting schnell verbreiten können, heißt es bei Easynet.

Währenddessen ist die Zahl der von Sobig.F infizierten Rechner offenbar deutlich zurückgegangen. Der japanische Sicherheitsexperte Trend Micro meldete am Sonntag 85.000 befallene Systeme weltweit. Zuvor waren es noch rund 150.000 gewesen. In Europa sei die Zahl der befallenen Rechner sogar schon um mehr als 50 Prozent gefallen.

Während viele Anwender und Administratoren mit Hilfe von entsprechenden Tools den Wurm identifizieren, ihn löschen und ihre Antiviren-Software auf den neuesten Stand bringen, rufen die Experten weiterhin dazu auf, den UDP-Port 8998 zu schließen. Über diesen Weg kommuniziert der Wurm mit der Außenwelt, sobald er vom Anwender aufgerufen wurde. Die meisten Internet-Serviceprovider hätten den Port aber ohnehin schon geschlossen, heißt es.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

14 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago