netzeitung.de«Sober»-Wurm verschickte Nazi-Spam

11.06.2004

 Herausgeber: netzeitung.de

Zehntausende Spammails mit rassistischem Inhalt gehen auf virenverseuchte Windows-Rechner zurück. Experten tippen auf den deutschsprachigen Wurm «Sober.G». Die Polizei ermittelt auch an der Rostocker Universität.

Die seit dem frühen Mittwochmorgen im Umlauf befindlichen Spammails mit rassistischem und rechtsradikalem Inhalt wurden mit großer Wahrscheinlichkeit über den deutschsprachigen Windowswurm «Sober.G» verschickt. Expertenberichten zufolge kommen die Müllmails direkt von PC, die zuvor eine Infektion mit dem Datenschädling erlitten hatten. «Sober.G» verbreitet sich selbst per E-Mail.
«Sober.G» beschäftigt
Erkennbar sei dies auch daran, dass die im Umlauf befindlichen «Sober.G»-Virenmails, die infizierte PC weiterversenden, kurzzeitig deutlich zurückgegangen seien, schreibt das Fachblatt «c't». Die befallenen Maschinen seien zum Tatzeitpunkt wohl mit dem Versand der Spammails beschäftigt gewesen. Auch soll es Übereinstimmungen zwischen den gefälschten Viren- und Spam-Absendern geben - sie sind bei «Sober.G» und dem Nazi-Spam oft deckungsgleich.

Laut einem Bericht der «Schweriner Volkszeitung» könnte ein großer Teil des Spams aber auch von einem einzelnen Rechner an der Uni Rostock verschickt worden sein, der inzwischen abgeschaltet wurde - das LKA Mecklenburg-Vorpommern ermittelt. Wie viele Spammails von gekaperten Windows-PC und wie viele von dem Uni-Rechner verschickt wurden, ist bislang unklar - viel spricht für eine «Doppelstrategie» der Täter.

Mit «Sobig.G» infizierte Rechner enthalten eine «Readme»-Datei, in der sich der angebliche Autor mit dem Pseudonym «Odin» bezeichnet, das gerne in der Rechtsradikalen-Szene verwendet wird - ob «Sober.G»-Autor und Spammer die gleiche Person sind, kann aber noch nicht mit Bestimmtheit festgestellt werden.

Kein Scriptkiddie
In der Botschaft schreibt «Odin», er «erobere» Rechner nicht zum Spam-Versand, «verkaufe» diese PC auch nicht an Spammer. Er sei auch kein junger Mann («Scriptkiddie»), sondern «einige Jahre über 30», so die Botschaft weiter: «Wollte ich nur mal klargestellt haben!»

Sicherheitsexperten untersuchen derzeit, woher der Nazi-Spam tatsächlich stammt. Betreiber von Mailservern können sich inzwischen mit Filterregeln gegen die Spamwelle versorgen, die mittlerweile abgeebbt ist.


Für das Web ediert von Ben Schwan