Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor einer neuen Variante des Internet-Wurms Sobig. Ausgehend von der weiten Verbreitung der Vorgängerversion dieses Schädlings schließen die Antiviren-Experten des Unternehmens eine neue große Epidemie nicht aus. Es sind bereits zahlreiche Meldungen von Infizierungen eingegangen.

"Wir haben allen Grund anzunehmen, dass der Viren-Autor in diesem Fall Spammer-Technologien zu einem anonymen Massenversand der Wurm-Kopien benutzt hat," so Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs. "Die in Sobig eingebaute Verbreitungsfunktion ist schlicht und einfach nicht effizient genug, um eine so große Anzahl an Infektionen hervorzurufen. Deshalb haben wir es hier höchstwahrscheinlich mit einer Symbiose von Viren- und Spammer-Technologien zu tun."

Vom ersten Erscheinen des Wurms Mitte Januar 2003 an, sind lediglich drei Wurm-Versionen registriert worden, "A", "B" und "C". Trotzdem hat es der Wurm bereits in der Top 20 der verbreitetsten Malware für den Mai mit Abstand auf den ersten Platz geschafft und die berüchtigten Schädlinge Klez und Lentin hinter sich gelassen.

Sobig verbreitet sich als angehängte Datei über eMails sowie über allgemein zugängliche Laufwerke von lokalen Netzwerken. Zur Verschickung per eMail, sucht er die Dateien des infizierten Computers nach eMail-Adressen durch und verschickt an diese unbemerkt seine Kopien. Um die User dazu zu bringen, die Wurm-Datei zu starten, benutzt Sobig verschiedene Manipulationsmethoden. So tarnt er seine Mails z.B. als Meldungen vom technischen Support von Microsoft.
Zu den Payloads von Sobig gehören u.a. die Möglichkeit aktualisierte Wurm-Versionen von entfernten Web-Servern herunterzuladen sowie SpyWare zu installieren.

Sobig b (alias Palyh) hat dem Wurm praktisch neues Leben "eingehaucht", weshalb es der Schädling denn auch auf den ersten Platz der Top 20 für den Mai geschafft hat. Doch im Wurm-Code war ein Trigger eingebaut, sodass der Wurm nach dem 31. Mai automatisch alle seine Funktionen mit Ausnahme des Herunterladens zusätzlicher Dateien deaktivierte. Dies hatte das Schicksal von Palyh besiegelt, weil sofort alle Web-Server geschlossen wurden, von welchen aus er seine Updates heruntergeladen hätte.

Die neue Version, Sobig.c unterscheidet sich praktisch nicht von ihren Vorgängern und hat dieselbe Besonderheit; der Wurm ist nur bis zum 8.Juni funktionsfähig. "Es entsteht der Eindruck, dass Würmer mit zeitlich begrenzter "Lebensdauer" quasi zum besonderen Stil dieses Autors gehören, welcher leider noch nicht identifiziert werden konnte," meint Eugene Kaspersky. "Es kann davon ausgegangen werden, dass neue Würmer auftauchen, die jeweils bis zum 16.,23.,30. Juni usw. funktionsfähig sein werden."

Schutzverfahren gegen diese Malware sind bereits der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden.

Detailliertere Informationen über die Sobig.c finden Sie in der Kaspersky Virus Encyclopedia.