Neue Sober-Offensive startet erst am 6. Januar 2006 und nicht bereits am 5. Januar

Virus synchronisiert seine Startzeit durch das NTP-Protokoll der infizierten Rechner

(21.12.05) - H+BEDV Datentechnik hat Erkenntnisse zur nächsten Offensive des Computerwurms Sober gewonnen: Die Analysen zur Entschlüsselung des Wurm-Codes haben ergeben, dass Sober sich erst am 06. Januar 2006 mit besonderer Durchschlagkraft aktiviert und nicht - wie oftmals berichtet - bereits am 05. Januar.

Der Virus synchronisiert seine Startzeit durch das NTP-Protokoll der Rechner, die von ihm infiziert sind. Sie starten die Update-Routine zum gleichen Zeitpunkt, wobei die lokale Systemzeit keine Rolle spielt. Die Untersuchungen haben bestätigt, dass der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine beginnt. Damit werden alle Systeme, die bereits durch Sober.Y infiziert wurden, gleichzeitig einen Update-Vorgang starten - sei es in dem Moment Mitternacht in London, 01:00 Uhr morgens in Paris und Berlin oder 03:00 Uhr in Moskau.

Für seine Update-Routine kontaktiert Sober.Y eine Reihe von URLs, von denen er bestimmte Dateien herunterlädt. H+BEDV fand heraus, dass sich diese Liste 15 URLs umfasst und sich alle 14 Tage ändert. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschied-liche Listen bis zum Jahresende abarbeiten. Dies entspricht 375 URLs, die auf den folgenden Domains gehostet sind:

· people.freenet.de

· scifi.pages.at

· home.pages.at

· free.pages.at

· home.arcor.de

Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten - noch bevor der Inhalt hochgeladen ist und das Update auf den infizierten Systemen ausgelöst wird.

Die Virenforscher von H+BEDV beobachten diese Domains permanent. Alle Informationen über die von Sober angesteuerten URLs werden von H+BEDV zeitnah bekannt gegeben. (H+BEDV: ra)