Rubrik: Virenwarnung/Aktuelle Meldungen

Clearswift: ThreatLab warnt vor neuen Wurm-Varianten von W32/Sobig

Sobig proaktiv gestoppt von "CS MAILsweeper for SMTP"

(25.09.03) - Clearswift hat eine Warnung vor neuen Varianten von "W32/Sobig" herausgegeben. In vielen Unternehmen gab es Probleme aufgrund der beispiellos schnellen Ausbreitung der aktuellen Version des Sobig-Wurms (Sobig.F), der sich am 10. September 2003 selbst zerstörte.

"Sobig war bereits der sechste Versuch in der Reihe kontrollierter Experimente vom Urheber dieses Wurms", berichtet Pete Simpson, ThreatLab Manager bei Clearswift. "Es wird nicht mehr lange dauern, bis die nächste Version in Umlauf gebracht wird. Die Intervalle zwischen dem Stopp der einen und dem Auftauchen einer neuen Version variierten zwischen weniger als 7 Tagen und mehr als 35 Tagen."

Das ThreatLab von Clearswift hat eine Analyse sämtlicher Daten der letzten sechs Wurm-Versionen vorgenommen und ist zu dem Ergebnis gekommen, dass bestimmte Programmcodes auch in zukünftigen Varianten des Wurms Verwendung finden werden. Clearswift empfiehlt daher, Textanalyse-Tools zu verwenden, mit denen Programmcodes, Dateianhänge und/oder ausführbare Dateien proaktiv blockiert werden können, um die nächste Sobig-Variante abzuwehren. "CS MAILsweeper for SMTP" und "ES ClearEdge" verfügen über derartige Tools.

Neue Viren, kriminelle Energie und große wirtschaftliche Schäden

Vor dem Auftauchen von Sobig.A im Januar 2003 konnten Urheber von Viren leicht in zwei Gruppen unterteilt werden: Diejenigen, die durch größtmögliche Verbreitung ihres Werkes zu fragwürdiger Berühmt-heit kommen wollten und diejenigen, die als intellektuelle Herausforderung einen Virus programmierten, ihn jedoch nicht verbreiteten, sondern an Hersteller von Anti-Viren-Programmen schickten, um das eigene Können unter Beweis zu stellen.

Der Urheber der Sobig-Serie fällt in keine dieser Kategorien. Die Würmer sind Teil eines kontrollierten Projekts, motiviert von vollständig neuen Zielen. "Was wir jetzt sehen, ist eine neue Evolutionsstufe der Computerkriminalität", erklärte Pete Simpson. "Die neuen Urheber verfügen über eine Kombination der Fähigkeiten von Virenprogrammierern, Hackern, Spammern und Betrügern. PCs werden nicht einfach nur infiziert. Der Virus ermöglicht dem Urheber die komplette Kontrolle über das System. Die wirtschaftlichen Schäden können immens sein."

Entschärfung der Varianten

Der Schlüssel zur Entschärfung von W32/Sobig.F und anderen Bedrohungen ist deren Aufspürung. CS MAILsweeper for SMTP eignet sich hervorragend für diese Aufgabe. Das Programm verfügt über rekursive Routinen, die den Inhalt einer E-Mail in sämtliche Komponenten, also in dekodierte, unkomprimierte Betreff-zeilen, Texte und Anhänge, zerlegt. Dadurch können sogar Viren und andere Bedrohungen gefunden werden, z.B. Trojaner in Excel-Tabellen innerhalb von Word-Dokumenten, die sich wiederum in kompri-mierten Anhängen befinden. CS MAILsweeper for SMTP schützt das gesamte Netzwerk mit nur einer einzigen Modifikation am SMTP-Gateway vor neuen Gefahren. (ma)

Clearswift

Ansprechpartnerin: Annette Scheffler

Tel. (040) 23999-0, Fax (040) 23999-100

E-Mail: presse@clearswift.de

Web: www.clearswift.de