14. Jun 2004 08:19
Das Abschalten eines PCs an der Uni Rostock half wenig: Auch am Montag ging die Welle rechtsradikaler Spam-Mails weiter. Inzwischen trägt der verantwotliche Wurm den Namen «Sober.H».
Die Flut an Spam-Mails mit rechtradikalem Inhalt geht auch in dieser Woche weiter. Am Montagmorgen erreichten weitere der mit gefälschtem Absender versehenen Müllmail-Botschaften deutsche User - obwohl die Polizei an der Uni Rostock einen gekaperten Rechner hatte abschalten lassen, über den laut Medienberichten ein Großteil des Nazi-Spams verschickt worden sein soll.Der anhaltene Versand spricht daher für einen weiteren, relevanteren Verbreitungsweg: Den über gekaperte Windows-Rechner («Zombie-PCs»), die zuvor mit dem «Sober»-Wurm infiziert wurden und nun Massen von Spam verschicken, ohne dass die Benutzer davon etwas bemerken.
Diese Theorie wird inzwischen auch von führenden Anti-Viren-Unternehmen gestützt - sie gaben dem verbreitenden Wurm nun auch einen eigenen Identifikationsnamen: «Sober.H». Dieser insgesamt rund 60 Kilobyte große Datenschädling wird von seiner Vorvariante «Sober.G» aus dem Internet heruntergeladen und verschickt offenbar den Nazi-Spam. «Sober.G» kommt als E-Mail-Virus auf den Rechner, den unbedarfte Nutzer anklicken müssen, um sich zu identifizieren.Es könnte noch schlimmer kommen: Auch «Sober.H» kann ähnlich wie «Sober.G» neuen Code aus dem Internet herunterladen und so gegebenenfalls neue «Aufgaben» übernehmen. Der «Sober»-Autor, der sich selbst «Odin» nennt und offenbar aus Deutschland stammt, hat aber auch Routinen zur Deinstallation eingebaut: Ist eine Datei namens «sysmms32.lla» auf dem zu befallenen PC, infiziert «Sober.H» diesen erst gar nicht oder löscht sich selbst.
Unterdessen klagen immer mehr User über die Verwendung ihres Namens als angeblichen Absender von Teilen des Nazi-Spams. So verschickt sich dieser etwa mit gefälschten Autoren aus den Medien - etwa von Spiegel.de, aber auch von der Netzeitung, dem ZDF und anderen bekannten Medienhäusern. So wirkt es dann, als sei der gefälschte Absender Urheber von Texten, die das «Ausweisen aller Ausländer» fordern oder gegen Türken hetzen. In einer Journalistenmailingliste wies ein Redakteur seine Mailpartner ausdrücklich darauf hin, er stecke nicht hinter solcher ehrverletzender Botschaften. Der Nazi-Spam ist von unbedarften Nutzern allerdings nicht leicht als Spam erkennbar - er kommt im Stil «echter» Mails. Allerdings sind ID-Nummern, so genannte «Keys», in der Betreffzeile enthalten, die ein Ausfiltern erleichtern.
