Die Würmer Sobig.C und Bugbear.B haben "verbesserte" Funktionen zur Generierung von Absender- und Empfängeradressen. Anstatt bei der Weiterverbreitung von einem erfolgreich infizierten System aus eine fixe Absenderadresse anzugeben, werden unterschiedliche, tatsächlich existierende E-Mail-Adressen vorgetäuscht.

"Soziale Schadensroutinen" sind bei neuen Varianten von Computerschädlingen en Vogue. Die Würmer Sobig.C und Bugbear.B (auch Tanatos.B genannt) beispielsweise haben "verbesserte" Funktionen zur Generierung von Absender- und Empfängeradressen. Anstatt bei der Weiterverbreitung von einem erfolgreich infizierten System aus eine fixe Absenderadresse anzugeben, werden unterschiedliche, tatsächlich existierende E-Mail-Adressen vorgetäuscht. "Dadurch werden viele User total verunsichert. Sie beschuldigen völlig Unbeteiligte der Virenverbreitung und manche Firmen werden von sinnlosen Virenwarnungen überflutet", berichtet Joe Pichlmayr, Chef des Anti-Viren-Spezialisten Ikarus.

Der Mitte Mai als "Palyh" oder "Mankx" bekannt gewordene Wurm tarnte sich statisch mit der Absenderadresse "support@microsoft.com". Sobig.C hingegen durchforscht Adressbücher und Browser-Caches infizierter Rechner nach E-Mail-Adressen. Diese benutzt er dann nicht nur als Empfänger einer Kopie von sich selbst, sondern auch als Absendertarnung. Dies führt dazu, dass auf häufig besuchten Webseiten enthaltene E-Mail-Adressen auch häufig fälschlich als Absender aufscheinen. Viele Virenschutzprogramme sind wiederum so eingestellt, dass sie bei Erkennung eines gefährlichen E-Mails eine Warnung an den vermeintlichen Absender schicken - dessen Systeme in der Regel aber gar nicht infiziert sind. Auch manche User greifen spontan zum Telefon um eine gut gemeinte Warnung zu übermitteln. "Jeder zweite Anruf bei unserem Support ist inzwischen ein Fehlalarm 'Ihr verschickt Viren!' oder 'Das Unternehmen XY bombardiert mich mit Würmern, berichtet Pichlmayr pressetext.austria, "Wir versenden aber keinesfalls Viren. Jedes E-Mail, das unser Haus verlässt, wurde zuvor mit den aktuellsten Virensignaturen gescannt."

Viren-Experte Pichlmayr empfiehlt Zweierlei. Einerseits sollten die durch Schutzsysteme automatisch erfolgenden Benachrichtigungen fremder User deaktiviert werden. Es sei zwar sinnvoll, bestimmte Dateitypen gleich am Server zu filtern, aber: "Wenn völlig Unbeteiligte Dutzende gleichlautende Mails mit Informationen über die E-Mail-Richtlinien einer ihnen wiederum unbekannten Stelle erhalten, schadet so etwas mehr, als es nutzt." Zweitens sollte vor der Kontaktaufnahme mit einem vermeintlichen "Virenschleuderer" in den Headern der Virenmails überprüft werden, woher die schädlichen Nachrichten tatsächlich gekommen sind. Doch auch der Ikarus-Chef weiß: "Viele User wissen leider nicht einmal, was Mailheader sind." Unter http://www.ikarus-software.at sind detaillierte Ratschläge von Ikarus abrufbar. (KC)


KONTAKT:

Ikarus
Internet: www.ikarus-software.at