Die seit Donnerstag herumschwirrenden rassistischen Mails enthalten gefälschte Absenderadressen – meistens von seriösen Unternehmen. Zwar ist der Ursprung der Texte bislang ungeklärt, doch es verdichten sich die Hinweise, dass der Verssand durch den Wurm Sober.G erfolgt. Bislang waren Sicherheitsunternehmen davon ausgegangen, dass sich die Ausländerfeinde möglicherweise eines Spambots bedienen.

Nutzer der Newsgroup de.admin.net-abuse.mail berichteten aber nun, dass seit Donnerstagmorgen um 2.30 Uhr mehrere mit Sober.G infizierte Rechner begannen, statt weiteren Würmern rassistische Spams zu verschicken. Durch ihre statische IP-Adresse waren diese Computer eindeutig zu identifizieren.

Entweder enthielt der Wurm bereits im Vorfeld eine Funktion, die eine Umschaltung auf den Versand von Spam vorsah oder der Schädling wurde im Nachhinein modifiziert. Im einfachsten Fall könnten die Urheber der Nachrichten die Daten zur Weiterverbreitung Sobers mit ihren eigenen Anfeindungen überschrieben haben. Eine weitere Möglichkeit sind integrierte Schnittstellen für nachladbare Bibliotheken, die eine flexible Verwendung des Wurms für verschiedene Aufgaben ermöglichen. Dies entspräche den Prognosen von Antiviren-Experten, die bereits seit einiger Zeit die Verwendung von Viren durch Spammer erwarten. (mk)