Tipp

Neue Sober-Virenschwemme für Anfang Januar erwartet

Shawn H Shawn H

Die AntiVir-Experten warnen vor einer neuen Sober-Offensive, die am 6. Januar 2006 starten soll. Bislang war bei Warnungen vor einer neuen Sober-Schwemme häufig der 5. Januar als Ausbruchsdatum genannt worden.

In den Virenlabors der H+BEDV Datentechnik ist man zu einer neuen Erkenntnis zur nächsten Offensive des Computerwurms Sober gekommen: Die Analysen zur Entschlüsselung des Wurm-Codes hättenn ergeben, dass Sober sich erst am 6. Januar 2006 mit besonderer Durchschlagkraft aktiviert und nicht wie weithin behauptet bereits am 5. Januar.

Laut den Antivirenexperten von H+BEDV synchronisiert der Virus seine Startzeit durch das NTP-Protokoll der Rechner, die von ihm infiziert sind. Sie starten die Update-Routine zum gleichen Zeitpunkt, wobei die lokale Systemzeit keine Rolle spielt. Die Untersuchungen haben bestätigt, dass der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine beginnt. Damit werden alle Systeme, die bereits durch Sober.Y infiziert wurden, gleichzeitig einen Update-Vorgang starten - sei es in dem Moment Mitternacht in London, ein Uhr morgens in Paris und Berlin oder drei Uhr in Moskau.

Für seine Update-Routine kontaktiert Sober.Y eine Reihe von URLs, von denen er bestimmte Dateien herunterlädt. Die AntiVir-Forscher fanden heraus, dass sich diese Liste 15 URLs umfasst und sich alle 14 Tage ändert. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschiedliche Listen bis zum Jahresende abarbeiten. Dies entspricht 375 URLs, die auf den folgenden Domains gehostet sind: people.freenet.de, scifi.pages.at, home.pages.at, free.pages.at und home.arcor.de.

Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten, noch bevor der Inhalt hochgeladen ist und das Update auf den infizierten Systemen ausgelöst wird. Die Virenforscher beobachten diese Domains natürlich und wollen alle Infos über die von Sober angesteuerten URLs zeitnah bekannt geben.

"Wenn man sich die Größenordnung von Sober.Y im Internet seit Anfang November vor Augen führt, lassen sich die Folgen seiner künftigen Aktionen nur schwer realistisch einschätzen", so Gernot Hacker, stellvertretender Geschäftsführer von H+BEDV. "Wir empfehlen daher allen Anwendern, ihre Antiviren-Software ständig zu aktualisieren, um eine neue Infektions-Welle oder gar ernsthafte Beeinträchtigungen in der Netzlast zu verhindern."

Neueste Artikel