Neue Sober-Offensive startet erst am 6. Januar
Die H+BEDV Datentechnik GmbH hat überraschende Erkenntnisse zur nächsten Offensive des Computerwurms Sober gewonnen: Ihre Analysen zur Entschlüsselung des Wurm-Codes haben ergeben, dass Sober sich erst am 6. Januar 2006 mit besonderer Durchschlagkraft aktiviert und nicht wie weithin behauptet bereits am 5. Januar.
Laut den Antivirenexperten von H+BEDV synchronisiert der Virus seine Startzeit durch das NTP-Protokoll der Rechner, die von ihm infiziert sind. Sie starten die Update-Routine zum gleichen Zeitpunkt, wobei die lokale Systemzeit keine Rolle spielt. Die Untersuchungen haben bestätigt, dass der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine beginnt. Damit werden alle Systeme, die bereits durch Sober.Y infiziert wurden, gleichzeitig einen Update-Vorgang starten – sei es in dem Moment Mitternacht in London, 01:00 Uhr morgens in Paris und Berlin oder 03:00 Uhr in Moskau.
Für seine Update-Routine kontaktiert Sober.Y eine Reihe von URLs, von denen er bestimmte Dateien herunterlädt. Die AntiVir-Forscher fanden heraus, dass diese Liste 15 URLs umfasst und sich alle 14 Tage ändert. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschiedliche Listen bis zum Jahresende abarbeiten. Dies entspricht 375 URLs, die auf den folgenden Domains gehostet sind:
- people.freenet.de
- scifi.pages.at
- home.pages.at
- free.pages.at
- home.arcor.de
Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten – noch bevor der Inhalt hochgeladen ist und das Update auf den infizierten Systemen ausgelöst wird. Die AntiVir-Virenforscher beobachten diese Domains permanent. Alle Informationen über die von Sober angesteuerten URLs werden von H+BEDV zeitnah bekannt gegeben.
„Wenn man sich die Größenordnung von Sober.Y im Internet seit Anfang November vor Augen führt, lassen sich die Folgen seiner künftigen Aktionen nur schwer realistisch einschätzen. Wir empfehlen daher allen Anwendern, ihre Antiviren-Software ständig zu aktualisieren, um eine neue Infektions-Welle oder gar ernsthafte Beeinträchtigungen in der Netzlast zu verhindern.“
Gernot Hacker, Stellv. Geschäftsführer von H+BEDV
Wie immer ist H+BEDV auch am Vertrieb der eigenen, in diesem Fall kostenfreien Produkte interessiert und empfiehlt all den Computernutzern, die bisher keine Sicherheitslösung einsetzen, sich das AntiVir Removal Tool for Windows herunterzuladen. Es handelt sich dabei um eine kostenfreie Software, die in der Lage ist, Sober aufzuspüren und zu entfernen.