Im weltweiten Ticket-Verkauf für die Fußball-Weltmeisterschaft 2006 steckt der Wurm. Nach den millionenfachen Manipulationsversuchen aus den USA und Schwarzhandel im Internet-Auktionshaus "Ebay" hat ein neues E-Mail-Virus das Kommunikationssystem des WM-Organisationskomitees in Deutschland vorläufig komplett lahm gelegt. "Seit Montagabend können weder E-Mails ausgesendet noch empfangen werden", sagte Wolfgang Niersbach, Vizepräsident des WM-OK, in Frankfurt/Main.
Flut von Reaktionen
Die Mitarbeiter seien wie aus einem übervollen Briefkasten zu Hauf mit elektronischer Post überschüttet worden und würden immer noch mit Telefonanrufen vermeintlicher, zum Teil ärgerlicher Kunden bombardiert, die sich über den überraschenden Gewinn einer WM- Eintrittskarte wunderten. "Das Positive ist, dass die eigentliche Ticket-Operation davon nicht betroffen ist, weil die bisherigen Gewinner schon benachrichtigt sind oder noch werden. Wir wollen so schnell wie möglich alles erledigen und zur Normalität zurückkehren", meinte Niersbach, der einen Termin für das Stau-Ende nicht nennen konnte.
Stichwort "Sober"
Der Computerschädling "Sober" ist eigentlich eine ganze Familie von Würmern, die sich per Mail massenhaft im Internet verbreiten. Erstmals tauchte der Name Sober, englisch für 'nüchtern', im Oktober 2003 auf. Besonderes Kennzeichen dieses Wurms war damals, dass er die Sprache der infizierten Mails je nach Länderkennung der Empfänger ändert. Dies ist möglicherweise auch bei dem jüngsten Sober-Typ der Fall, der nun die Ticketvergabe zur Fußball-WM 2006 plagt und möglicherweise die 15. Wurm-Variante darstellt.
Das Bundesamt für Sicherheit in der Informationstechnik spricht von Sober.O, allerdings kursieren unter Experten verschiedene Zählweisen und Bezeichnungen. Mit Warnungen vor Sober.M, Sober.P oder Sober.S ist aller Wahrscheinlichkeit derselbe Typ gemeint.
E-Mail-Würmer wie Sober verbreiten sich über Dateianhänge. Klickt ein Nutzer auf den Anhang, setzt er eine verhängnisvolle Kettenreaktion in Gang: Der Wurm sucht sich alle auf dem Computer gespeicherten Mail-Adressen und verschickt sich mit gefälschtem Absender an diese. Bei jedem Systemstart aktiviert sich der Wurm aufs neue. Die Mail-Texte sind bei Sober.O in englischer und deutscher Sprache gehalten.
Das OK hatte am Dienstag vor der Computer-Wurm-Variante des bereits bekannten Schädlings "Sober" gewarnt, der zuletzt vor rund einem Jahr für Aufsehen gesorgt hatte. Internetbenutzer erhalten laut OK-Angaben eine Mail, die ihnen vortäuscht, Eintrittskarten für das Turnier erhalten zu haben. Diese Mail fordere dazu auf, einen Anhang zu öffnen, um weitere Details zu erfahren. "Dieser Anhang ist mit Sicherheit gefälscht und verseucht. Wir warnen ausdrücklich davor, ihn zu öffnen", sagte WM-OK-Sprecher Gerd Graus.
Offizielle E-Mails des OK werden grundsätzlich nicht mit einem Datei-Anhang verschickt, betont Graus. "Die erste Bestellphase ist seit dem 22. April beendet, und entsprechende E-Mails sind den 'Gewinnern' längst zugesendet worden." Die "Gewinner" aus der seit dem 2. Mai angelaufenen zweiten Bestellphase seien auch schon per E-Mail benachrichtigt worden. "Jetzt werden danach noch einmal Bestätigungsmails geschickt, aber die haben auf keinen Fall einen Anhang", sagte der OK-Sprecher. "Wenn eine Mail mit Anhang kommt, kann sie nicht von uns sein."
Technisch nichts Neues
Im Juni 2004 hatte "Sober.G" die auf den infizierten Rechnern gefundenen E-Mail-Adressen missbraucht und in deren Namen rechtsradikale Inhalte verbreitet. An der neuen Variante sei technisch nicht viel Neues, sagt der Karlsruher Virenexperte Christoph Fischer. "Der geniale Trick ist nur, dass er sich in Zusammenhang mit den WM-Tickets verbreitet."
Bei der Vielzahl der im Internet kursierenden E-Mail-Würmer dürfte inzwischen die Mehrheit der Nutzer vorsichtiger geworden sein. Die meisten Schädlinge sind zudem in englischer Sprache verfasst oder gerade mal in holpriges Deutsch übersetzt. Schon allein dadurch fallen viele deutsche Nutzer immer seltener darauf herein.
Der neue Sober-Wurm verbreitet sich dagegen auch mit einwandfreiem deutschen Text. Der Inhalt sei "nicht schlecht" gemacht, sagt Elke Wößner, Sprecherin des Antiviren-Software-Herstellers Kaspersky. "Da ist kein einziger Rechtschreibfehler drin."
Öffnet ein Nutzer den infizierten Anhang im zip-Format, verschickt der Wurm Kopien von sich an weitere Email-Adressen. Die Nachrichten tragen demnach Betreffzeilen wie: "Ihr Passwort.msg", "Glueckwunsch: Ihr WM Ticket" oder "WM-Ticket-Auslosung". Daneben seien auch Betreffzeilen wie "Ich bin's, was zum Lachen", "Mail-Fehler", "Ihr Passwort" und "Ihre E-Mail wurde verweigert" möglich.
Offenbar nicht schädlich
Nach Öffnen des Anhangs verbreitet sich der Schädling dann über die im E-Mail-Programm gespeicherten Adressen weiter. Nach ersten Erkenntnissen der Experten richtet Sober keinen weiteren Schaden auf den PCs an. "Harmlos wäre aber der falsche Begriff", sagt Fischer. Immerhin verursacht Sober erhebliche Staus auf den Servern, eine Menge Arbeit und hohe Kosten zur Bereinigung der infizierten Rechner.
Inzwischen haben alle führenden Hersteller von Antiviren-Software ihre Produkte aktualisiert. Über den Namen des Schädlings sind sich die Experten jedoch nicht einig. Er wird derzeit als Sober.O,.P,.N oder .S bezeichnet.
