Was er anrichtet und wie man ihn wieder los wird.
Kein Computervirus in diesem Jahr verbreitete sich so
schnell und so weit wie der neue sogenannte BKA-Wurm. Experten gehen
davon aus, dass mehrere Millionen Computer weltweit befallen sind.
Das
Tückische: Er vermehrt sich, indem er die im Adressbuch gespeicherten
E-Mail-Adressen nutzt und sich so an Freunde und Bekannte
weiterversendet. Da dem Empfänger die Absenderadresse bekannt ist, wird
die gefährliche Mail oft bedenkenlos geöffnet und damit eine Lawine ins
Rollen gebracht. PLANETOPIA erklärt, was der neue Wurm auf dem Rechner
anrichtet – und wie man ihn wieder los wird.
Hinweis:
Generell
gilt: Öffnen Sie verdächtige Emails nicht und erst recht nicht dubiose
Anhänge. Löschen Sie solche Emails und entfernen Sie sie auch aus dem
Papierkorb.
Internettipps:
Sollte
Ihr Rechner infiziert sein, gibt das Bundesamt für Sicherheit in der
Informationstechnik Empfehlungen bzgl. Antiviren-Software sowie eine
genaue Beschreibung des Virus:
Für den Fall der Fälle – hier ein Tool zum Entfernen von Sober
Wer
sich in diesen Tagen seine Emails anschaut, bekommt nicht selten einen
gehörigen Schrecken. Schlimme Vorwürfe in der Betreffzeile: Man sei ein
Raubkopierer. Und die Mails kommen nicht von irgendjemandem, sondern
scheinbar vom Bundeskriminalamt. Hinter solchen oder ähnlichen
Vorwürfen und Drohungen steckt etwas ganz anderes. Ein neuer
Email-Wurm. Sein Name: Sober X. Der Präsident der
Welt-Informatik-Organisation IFIP, Klaus Brunnstein, kennt die Tücken
von Internetseuchen wie Sober X und Co.
Prof. Klaus
Brunnstein, Informatiker: „Es ist eine Art psychologische
Kriegsführung, in der man versucht, Benutzer speziell zu motivieren,
etwas zu öffnen, was sich selber wieder weiter verschickt.“
Und
das passiert: Email-Post von einem vermeintlich vertraulichen Absender
– wie zum Beispiel dem BKA. Dazu eine lockende Betreffzeile. Klickt der
User jetzt auf den Anhang – schnappt die Sober-Falle zu. Der Wurm
nistet sich ein, durchforstet die Festplatte des Rechners nach
eMail-Adressen – und verschickt die Vorwurfs-Mail an alle. Das
Tückische: Die Emailprogramme der Empfänger stufen die Mail als
vertrauenswürdig ein. So umgeht Sober auch Spam-Schutzprogramme, die
nur bekannte Emailabsender durchlassen und verbreitet sich so rasend
schnell. Sober X richtet zwar noch keinen materiellen Schaden an – aber
das kann sich schnell ändern.
Prof. Klaus Brunnstein: „Man kann
nicht ausschließen in solchen Fällen, dass ein Fernziel dieser Autoren
ist, sie eines Tages für schädliche Zwecke zu nutzen. Denn in solchen
Viren kann man sehr leicht Mechanismen verstecken, wie man z.B. PINs,
Passwörter, Kreditkarten-, Kontoinformationen, andere
Zugangsinformationen z.B. für Electronic Commerce, für Electronic
Banking-Systeme ausspioniert, auf einen fremden Rechner schickt, und
möglicherweise sogar von Ferne die Kontrolle über diesen Rechner
bekommt.“
Mit Speck fängt man Mäuse – mit verlockenden
Email-Betreffzeilen die User. Und Sober X hat eine große Palette davon:
Manchmal „zeigt er jemanden an“, wie in der BKA-Mail, ein anderes mal
wird man als Kandidat zu Wer wird Millionär geladen. Manchmal ist es
aber auch scheinbar nur der Hinweis, dass eine Mail nicht verschickt
werden konnte. Weitere Informationen finde man im Anhang. Sober X - ein
böses Kuckucksei. Hier hat er auch gewütet in der rheinland-pfälzischen
Staatskanzlei. Der stellvertretende Sprecher der Landesregierung
Wolfgang Lembach - mehr als verärgert.
Wolfgang Lembach,
Staatskanzlei Rheinland-Pfalz: „Wir wurden überschwemmt mit etwa
800.000 Emails. Normalerweise haben wir ein Aufkommen von etwa 10.000
Emails pro Tag. Und wenn ich jetzt sage 800.000, dann können Sie sich
vorstellen, das war ein richtiger „Email-Tsunami“, der uns überschwemmt
hat.“
So eine Überschwemmung geht nicht spurlos an den Servern der Staatskanzlei vorüber.
Wolfgang
Lembach: „Wir sind nach außen ein bisschen lahmgelegt, aber das Land
wir regiert so gut wie die ganze Zeit auch. Wir telefonieren etwas
mehr, faxen etwas mehr und begegnen uns wieder persönlicher.“
Sober
X – tückisch, ärgerlich, neu. Doch wie gefährlich ist er wirklich? Mit
dem virtuellen Parasiten im Gepäck fahren wir nach Berlin. Planetopia
Internet-Experte Peter Huth möchte dem Bösewicht mal genau auf den Zahn
fühlen.
Peter Huth, Internet-Experte: „Dieser Sober-Wurm ist
von Anfang an, also von der ersten Variante an, immer geprägt davon,
dass er versucht über die Fantasie seiner Email-Texte die Leute dazu zu
animieren, das zu öffnen. Raubkopien, MP3s herunterladen – das hat
jeder. Und das gekoppelt mit der Polizei der dem BKA irritiert die
Leute und führt sie doch in Versuchung, der Mail vielleicht zu glauben
und dann eben den Anhang zu öffnen.“
Peter Huth lässt Sober X
auf seine Festplatte los. Er möchte genau untersuchen, wie der Wurm
vorgeht, wo er sich einnistet. Den Anhang entpacken, das Programm
starten.
Peter Huth: „Jetzt ist praktisch der Wurm gestartet und
das erkennt man an dieser Fehlermeldung. Wenn man so eine Fehlermeldung
hat, dann weiß man, der Sober ist installiert und ist jetzt aktiv.“
Aber
wo hat sich Sober X versteckt? Nach kurzer Analyse steht fest:
Systemlaufwerk C, unter Windows, im Ordner WINsecurity. Peter Huth
findet verdächtige Dateien – mit kryptischen Namen und relativ kleinen
Dateigrößen. Die Pfeiler des Email-Wurms. Doch „ertappt“ heißt bei
Sober X nicht automatisch „eliminiert“.
Peter Huth: „Wenn man
jetzt weiß, wo er steckt, wo er auf der Festplatte liegt, und in das
Verzeichnis geht und ihn löschen will, haben wir schlechte Karten. Das
geht nämlich nicht.“
Ein Schutzmechanismus verhindert das Löschen. Peter Huth weiß, wie man den umgehen kann.
Peter
Huth: „Man fährt den Rechner wieder hoch und achtet drauf, dass man im
abgesicherten Modus wieder hochfährt. Das schafft man, indem man beim
Hochfahren auf die Taste F8 drückt. Da kommt dann ein Bildschirm und da
steht dann „abgesicherter Modus“. Da klicke ich drauf. Während der
Rechner hochgefahren wird, werden die Autostartprogramme einfach nicht
aktiviert, also die Programme, die normalerweise gestartet werden,
werden nicht gestartet, ich habe wirklich nur das Gerüst meines
Betriebssystems und dann kann ich hingehen und kann Stück für Stück
löschen.“
Und das geht so: Beim neuen Fenster unbedingt als
„Administrator“ anmelden, den betreffenden Ordner aufrufen und dann die
Sober X Dateien markieren. Ab damit in den Papierkorb und löschen. -
diese Wurmkur wirkt, und der Email-Spuk hat ein Ende. Es geht aber noch
einfacher. Das Bundesamt für Sicherheit in der Informationstechnik
stellt auf seiner Seite ein Tool zur Verfügung, dass der geplagte User
einfach nur ausführen muss. Auch das testen wir.
Peter Huth:
„Jetzt kann ich das Ding starten und jetzt rattert der durch und sucht
das. Mal sehen, ob er das schafft, es zu entfernen.“
Tatsächlich
- Schon nach wenigen Sekunden hat das Programm den Wurm erfolgreich
beseitigt. Soviel zur Bekämpfung – doch wie sieht es mit der Vorbeugung
aus? Durch die Verwendung alternativer Benutzerkonten kann man sich
auch in Zukunft vor solchen Würmern schützen.
Peter Huth: „Ich
habe einen Benutzer, der ist Administrator. Mit dem kann ich meinen
Rechner einrichten. Ich habe einen zweiten Benutzer, der ist ein
eingeschränkter Benutzer, mit dem kann ich arbeiten. Mit dem kann ich
Emails abrufen und online gehen.“
Also einfach einen neuen
Benutzer hinzufügen – Dieser muss aber als Benutzer mit eingeschränktem
Zugriff einrichtet werden – fertig.
Peter Huth: „Mit dem kann
ich, im Gegensatz zum Administrator, dann kaum noch Blödsinn anstellen.
Das heißt, selbst wenn ich als eingeschränkter User so eine Email öffne
und das Programm dann starte, das könnte gar nicht funktionieren.“
Sober-Alarm – ade. So kann man seinen Rechner auch vor dem aggressivsten Wurm schützen.
Quelle: Planetopia
