Dem Internet soll am 5. Januar die nächste Schädlingsplage bevorstehen. Das berichtet der Sicherheitssoftware-Anbieter F-Secure. Die im November aufgetauchte Sober-Variante sei programmiert, an diesem Tag aktiv zu werden und sich weitere Befehle von ihrem Programmierer zu holen.

Wie F-Secure mitteilt, ist auch schon bekannt, wie der Wurm funktioniert und über welche Quellen er sich seine Informationen besorgen soll.

Sober erzeugt mit Hilfe des jeweiligen Datums Internetadressen, die er dann nach Updateinformationen überprüft. Der Virenautor kann diese Adressen ebenfalls berechnen, um dann die entsprechenden Seiten mit den benötigten Programmteilen zu belegen. Der Wurm selbst richte sich nach der Atomuhr und nicht nach der lokalen Zeit, die am Rechner eingestellt ist. Somit werde sichergestellt, dass jeder infizierte Rechner zeitgleich auf die vorliegenden Daten zugreift.

Zu unterbinden sei dieses Update nur schwer, so F-Secure, da 99 Prozent der generierten Adressen bislang schlichtweg nicht existierten. Der Wurm überprüfe die Webseiten solange, bis er auf die gesuchten Informationen stoße. Hat er diese heruntergeladen, so sind die Adressen wertlos, da für weitere Updates neue Adressen erzeugt werden. F-Secure hat die Adressen veröffentlicht, die am 5. Januar verwendet werden sollen.

Systemadministratoren sollten die Firewall so konfigurieren, dass diese Seiten geblockt werden, so die Empfehlung der Experten. Im Moment existieren die Seiten noch nicht. Sie würden erst kurz vor ihrer Verwendung vom Virenautor registriert werden.

Die Experten von iDefense rechnen mit einer Flut von Spam-Mails mit politischem Inhalt. Auf ähnliche Weise ist im Frühjahr eine Vorgängervariante von Sober mutiert. Der erste Angriff kam mit WM-Tickets, vor den Landtagswahlen in Nordrhein-Westfalen verschickte er Mails mit Nazi-Propaganda. Indiz für die Vermutung ist die Tatsache, dass der 5. Januar Gründungstag der DAP ist, die später zur NSDAP wurde.