Sobig.F. lässt viele Fragen offen
In wenigen Tagen ist Sobig.F Geschichte. Der Wurm, der sich als bisher am schnellsten verbreiteter fürs Guiness-Buch empfiehlt, deaktiviert sich am 10. September selber. Was bleibt, sind Fragen.
Ungeklärt ist (bei Redaktionsschluss) immer noch, wer den Schädling überhaupt in Umlauf gebracht hat, auch wenn das FBI dem unbekannten Programmierer offenbar dicht auf den Fersen ist. Auch das Ziel, das der Wurm verfolgt hat, ist noch nicht endgültig geklärt. Sicherheitsexperten tendieren dazu, dass der Wurm der Spam-Industrie gedient hat, um neue Formen der raschen Mail-Verbreitung zu testen und die Möglichkeit zu untersuchen, wie man beliebige PCs zu Spam-Servern machen kann. Möglicherweise, so vermuten Sicherheitsexperten, werden Listen mit infizierten Systemen bereits an meistbietende Spammer verkauft.
Offen ist schliesslich auch, weshalb Sobig.F Ende August auf 20 Server zugreifen sollte, um ein Programm herunterzuladen und auszuführen. Hätte es sich dabei um eine Schadensroutine gehandelt, die der Wurm nicht integriert hatte? Wollte er sich selbständig zur Version Sobig.G aufdatieren? Sollten damit weitere Schädlinge wie etwa Proxies oder Hintertüren verbreitet werden?
Die Beantwortung solcher Fragen hat das FBI rechtzeitig verhindert, indem die Server in letzter Minute vom Netz genommen wurden.
Lernfähiges Virus?
Während sich die Virenjäger noch über diesen Erfolg freuten, wurde von rumänischen Experten bereits eine neue Variante von Sobig.F entdeckt. Diese glich dem Original aufs Haar, nur der Datenteil war offenbar ausgetauscht, so dass Sobig.F nun auf andere Rechner zugreifen sollte. Daraus wurde geschlossen, dass der Virenprogrammierer offenbar in der Lage war, den Datenteil aufzudatieren, ohne dazu einen neuen Wurm in Umlauf zu bringen.
Falls dies zutrifft, wären es schlechte Nachrichten für die Virenjäger: Aktionen wie die Rettung vor Sobig.F wären künftig im vornherein zum Scheitern verurteilt - die Virenentwickler könnten nämlich jederzeit die angepeilten Ziele ändern. Immerhin werden auch die so angepassten Viren von AV-Software erkannt.
Sicher scheint, dass Sobig.F erst ein kleiner Vorgeschmack auf die nächste Viren-Generation war. Künftige Schädlinge werden sich nicht nur selber mutieren können, um dadurch der Erkennung zu entgehen, sondern werden sich auch äusserst schnell verbreiten, sich selber aufdatieren und quasi beliebig zusätzliche Funktionen nachladen können. Dies wird einigen wenigen eine goldene Nase bescheren - der Grossteil der Nutzer dagegen hat davon nichts als eine Menge Ärger und hohe Folgekosten.