Bayrische Polizei sagte neuen Sober-Wurm voraus

Gestern Montag, den 14. November 2005, hat das LKA Bayern eine Pressemitteilung zu einer neuen Variante des Sober-Wurms [1] veröffentlicht. Darin hiess es [2], dass das LKA schon seit rund einem Jahr gegen den Urheber des Sober-Wurms ermittle. Nun habe man konkrete Informationen, dass der Autor des schädlichen Computerwurms heute (Dienstag) eine neue Sober-Variante in Umlauf bringen wolle.

Die Vorab-Mitteilung des Landeskriminalamtes löste in Fachkreisen erst einiges Stirnrunzeln aus. So fragte man sich, woher die bayrischen Ermittler so genaue Informationen hätten, und ob eine solche vorgängige Veröffentlichung die Ermittlungen nicht behinderte. Wie das LKA Bayern gegenüber dem PCtipp mitteilte, kam man dem neuen Wurm-Ausbruch durch Analyse einer früheren Sober-Variante auf die Spur. Wer der Urheber des Schädlings sei, wisse man leider noch nicht.

Das LKA Bayern hatte Recht: Letzte Nacht ist tatsächlich eine neue Sober-Variante verbreitet worden. Ein paar damit bestückte Mails sind beispielsweise sehr kurz nach Mitternacht auf einigen Mailkonten des PCtipp abgefangen worden. Die uns vorliegenden Mails, die den neuen Sober-Wurm im Schlepptau haben, wurden von offenbar bereits infizierten PCs bei verschiedenen Schweizer Providern verschickt und tragen folgende Kennzeichen:

Betreff: "Hi, Ich bin's"

Text: "Hier ist die Liste die du haben wolltest.

Du solltest dich aber auch eintragen!

OK, bis dann"

Wurm-Beilage: "Liste.zip" (ca. 130 KB gross)

Frühere Varianten des Sober-Wurms haben schon mehrmals von sich reden gemacht. Windows-PCs, auf denen sich der Sober-Wurm eingenistet hat, können von einem externen Angreifer für kriminelle Zwecke missbraucht werden, wie zum Beispiel als Verteilstation für Spam-Mails oder um (als Teil eines Botnetzes) andere Server anzugreifen. So wurden etwa über Sober-infizierte PCs im Juni 2004 [3] mehrere tausend Mailadressen mit einer Flut fremdenfeindlicher Spam-Mails bombardiert.