Sober-Wurm: Update-Code geknackt

F-Secure entschlüsselt Wurm-Algorithmus

Nach eigenem Bekunden ist es dem finnischen Antiviren-Hersteller F-Secure gelungen, den Update-Algorithmus des seit Monaten wütenden Sober-Wurms zu knacken. Die Formel werde von dem Schädling verwendet, um sich selbst in voreingestellten Zeitabständen über das Internet zu aktualisieren. Dabei versucht der Wurm neue, in Erkennungsdatenbanken noch nicht erfasste Wurm-Abkömmlinge auf bereits infizierte Rechner nachzuladen.

Die nächste Sober-Angriffswelle sei für den 5. Januar einprogrammiert. Zu diesem Zeitpunkt versuchten befallene Rechner, die folgenden, in Deutschland und Österreich registrierten Webseiten zu kontaktieren:

  • http://people.freenet.de/gixcihnm/
  • http://people.freenet.de/tobtrfjabzw/
  • http://people.freenet.de/utzmfucaau/
  • http://people.freenet.de/phyibrpkcpl/
  • http://people.freenet.de/lhxrdryo/
  • http://people.freenet.de/yediykdq/
  • http://people.freenet.de/bjjhdkybpyaj/
  • http://scifi.pages.at/agzytvfbybn/
  • http://home.pages.at/bdalczxpctcb/
  • http://free.pages.at/ftvuefbumebug/
  • http://home.arcor.de/ijdsqkkxuwp/
  • http://home.arcor.de/ldhdytdu/
  • http://home.arcor.de/wdqodvdhwwese/
  • http://home.arcor.de/frweemrecuvw/
  • http://home.arcor.de/nulmjznomnt/

Spätestens jetzt sollten Maßnahmen gegen den nächsten Wurmausbruch getroffen werden, meint Mikko Hypponen, Chief Research Officer bei F-Secure. „Diese (Webspace-) Anbieter sollten in der Lage sein, die spezifischen URLs zu sperren, die der Virus im Januar aufzurufen versuchen wird. Mit etwas Glück wird also nichts passieren“, so Hypponen. „Internet Service Provider und Antiviren-Firmen haben mehr als genug Zeit, um tätig zu werden.“

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Sober-Wurm: Update-Code geknackt

Kommentar hinzufügen
  • Am 12. Dezember 2005 um 15:52 von Rainer Linden

    Scannen die Hoster die hinterlegten Inhalte nicht?
    Da staune ich nun aber. Wieso werden bei den Webspace-Anbietern nicht die Inhalte nach verdächtigem Material gescannt? Zumal die hier genannten "Benutzernamen" ja schon fünf Meter gegen den Wind nach illegaler Nutzung "riechen".

  • Am 12. Dezember 2005 um 17:19 von tutnixzursache

    kein Scannen von Inhalten durch Provider!
    die dürfen nicht scannen! Und das ist auch korrekt so.
    Freiheit lässt sich leider missbrauchen, aber deshalb die Freiheit einzusperren ist nicht akzeptabel.
    Jetzt gezielt aufgrund des begründeten Verdachts, ggfs. mit richterlicher Anordnung, die Inhalte auf den genannten Seiten zu prüfen und, wenn diese wirklich mit dem Wurm zusammenhängen, den Zugriff darauf zu unterbinden, ist die korrekte und mit den bürgerlichen Freiheitsrechten vereinbare Lösung.

    Ein vorauseilender Eingriff in die Grundrechte führt auf sehr kurzem Wege zu ‚1984‘. Besser bekannt ist ein solches Vorgehen als ‚Rasterfahndung‘, und da gibt es aus den 1970er Jahren mehrere Beispiele aus der BRD, wie vollkommen unbescholtenen Leute unter Terrorverdacht geraten sind, und diesen nur mit erheblichem Aufwand wieder ausräumen konnten.

    So long

    • Am 13. Dezember 2005 um 10:02 von Giga

      AW: kein Scannen von Inhalten durch Provider!
      Aber Hallo,
      was hat das denn mit Freiheit einsperren zu tun? Leg doch mal deine mp3-Sammlung bei Freenet oder Arcor auf dem Server ab. Dann warten wir mal ab, wie schnell die Inhalte gelöscht und eine Strafanzeige ins Haus flattert.
      Es handelt sich sicher um Webspace der unentgeltlich (weil anonym) zur Verfügung gestellt wird. Bei der Anmeldung wird allem möglichen in den AGB zugestimmt.
      Warum sollte Arcor bzw. Freenet nicht Ihre eigenen Serverplattten nach Viren scannen dürfen? Ich würde eher sagen, die sollten dazu verpflichtet werden! Damit meine ich aber ganz bestimmt keine Inhaltsindizierung.

      Würde es darum gehen als Zugangsprovider den Internettraffic zu belauschen, dann bin ich auch entrüstet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *