Warum der Sober-Wurm up to date bleibt

Sober gilt inzwischen als Synonym für eine der größten digitalen Wurmseuchen. Der Schädling tarnte sich unter anderem als WM-Ticket und war für eine Flut an Nazi-Propaganda verantwortlich.

Die Experten von F-Secure haben nun entschlüsselt, wie sich der Wurm die jeweils aktuellen Informationen holt. Sober erzeugt mit Hilfe des jeweiligen Datums URLs, die er dann nach Update-Informationen überprüft. Der Autor des Virus kann diese URLs ebenfalls berechnen, um dann die entsprechenden Seiten zu reservieren und die notwendigen Programmteile zu hinterlegen. Der Wurm ist sogar so intelligent, dass er statt der lokalen Rechneruhr die Atomuhr für den Abgleich nutzt. Das bedeutet, dass jede infizierte Maschine zeitgleich auf die entsprechenden Daten zugreift und sich selbst von einer falschen lokalen Rechnerzeit nicht beeinflussen lässt.

Diese Methode macht es schwierig, ein Update des Wurms zu unterbinden. 99 Prozent der generierten Adressen existieren einfach nicht. Sober überprüft die Webseiten so lange, bis er die benötigten Informationen erhält. Danach sind die Seiten uninteressant, da für das nächste Update neue Adressen generiert werden. (mja)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.