Am 6. Oktober wurde eine neue Variante des Mail-Wurms "Sober" in Umlauf gebracht. Die Hersteller von Antivirus-Software stellten so schnell wie möglich Updates für ihre Programme bereit, mit denen der neue Wurm erkannt wird. Wer war am schnellsten, wer brauchte gar kein Update?
Dieser Frage geht für uns regelmäßig das Testlabor AV-Test in Magdeburg nach. Dort werden in Abständen von wenigen Minuten die Updates nahezu aller marktrelevanten Antivirus-Programme abgerufen und archiviert. So kann auch im Nachhinein die Erkennung eines neu entdeckten Schädlings zu einem beliebigen Zeitpunkt nachgestellt werden.
AV-Test konzentrierte sich für diesen Test auf die erste entdeckte Variante des Sober-Wurms, der die Hersteller-neutrale Kennung "CME-151" trägt. CME steht für "Common Malware Enumeration". Getestet wurden die Virenscanner mit Updates beginnend ab 1. Oktober 2005.
Die Testergebnisse zeigen, dass mehrere Virenscanner den neuen Wurm auch ohne spezielles Update erkennen. Dies sind Dr Web, Esafe, Fortinet, Quickheal und NOD32, wobei NOD32 als einziges dieser Produkte den Wurm als (vermutlich) neue Sober-Variante identifiziert. Am Morgen des 6. Oktober stellt Eset trotzdem ein Update bereit, mit dem NOD32 den Wurm als "Win32/Sober.R worm" erkennt.
Bei den Antivirus-Produkten, die CME-151 ohne Update nicht erkennen, hat Bitdefender die Nase vorn. Bereits um 02:54 Uhr am 6. Oktober ist ein Update verfügbar. Wenige Minuten später folgen Clam AV und AntiVir. Kaspersky und F-Prot schaffen es ebenfalls noch mit weniger als einer Stunde Rückstand auf Bitdefender. Dann passiert mehr als eine Stunde lang nichts, bis gegen 5 Uhr Sophos ein Update bereit hat. Bis um 8:00 Uhr morgens folgen Command AV, Panda und McAfee, danach Symantec, Etrust (VET-Engine), F-Secure und Ikarus. Kaspersky hat in der Zwischenzeit zweimal den Namen des Wurms geändert. Bis 11:00 Uhr schaffen es auch noch Norman, Ewido, Trend Micro und AVG. Der Rest folgt im Laufe des Tages.