A Sobig második hulláma - Nem véletlen a 10-ei leállás?

forrás Prim Online, 2003. augusztus 23. 15:58
[smallimage 1 left] A Sophos jelenetése szerint a Sobig.F második támadó hulláma várható. A vírusirtókat gyártó cég szerint a féreg minden pénteken és vasárnap este 7 és 10 óra között a fertőzött gépekről kísérletet tesz arra, hogy a vírus írójának szerverével kapcsolatot létesítsen, ahonnan károkozó programot tölt le.
W32/Sobig-F felhasználja a Network Time Protocolt (NTP), hogy több szerver egyikére belépjen, azért, hogy meghatározza az aktuális időt és a dátumot. Ha az NTP felhasználásával megállapítja, hogy a serveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm), akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy UDP csomagot a 8998 porton, távoli szerverekre, gépekre. Ezt ki lehet használni letöltesekre, trojai falovak vagy más kódok futtatásara is.

A vírus szeptember 10-én deaktiválódik. Egyes szakértők szerint elképzelhető, hogy nem véletlen a 10-ei leállás. Feltételezik, hogy "ez a vihar előtti csend", és a vírus által letöltött kódok segítségével szeptember 11-én - a New York elleni terrortámadás évfordulóján - a fertőzött gépek összehangolt támadást (DDOS - Distributed Denial of Service attack) indítanak valamilyen nagyobb rendszer ellen. Egy ilyen vírus álltal összehangolt támadásnak sikerült megbénítania a Fehér Ház szerverét is.

A féreg ezekhez a címekre akar csatlakozni:

IP / Host

67.73.21.6 / dialup-67.73.21.6.Dial1.LosAngeles1.Level3.net

68.38.159.161 / pcp04447100pcs.verona01.nj.comcast.net

67.9.241.67 / cs679241-67.jam.rr.com

66.131.207.81 / modemcable081.207-131-66.nowhere.mc.videotron.ca

65.177.240.194 / sdn-ap-030caburbP0194.dialsprint.net

65.93.81.59 / Kingston-HSE-ppp3559860.sympatico.ca

65.95.193.138 / Toronto-HSE-ppp3672941.sympatico.ca

65.92.186.145 / HSE-Montreal-ppp3465567.sympatico.ca

63.250.82.87 / dyn-87.monticello.net

65.92.80.218 / HSE-Toronto-ppp3480573.sympatico.ca

61.38.187.59 / 61.38.187.59

24.210.182.156 / dhcp024-210-182-156.woh.rr.com

24.202.91.43 / modemcable043.91-202-24.mtl.mc.videotron.ca

24.206.75.137 / user-0ccsis9.cable.mindspring.com

24.197.143.132 / ip-24-197-143-132.spart.sc.charter.com

12.158.102.205 / 12.158.102.205

24.33.66.38 / cpe-024-033-066-038.cinci.rr.com

218.147.164.29 / 218.147.164.29

12.232.104.221 / 12-232-104-221.client.attbi.com

68.50.208.96 / pcp694043pcs.anaprd01.md.comcast.net

A IP címek állapotát folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.

Ezt megelőzvén a Sophos javasolja, hogy a tűzfal 8998 UDP portját zárják el minden kifelé irányuló összeköttetés elől. Valamint javasolt még a felsorolt IP címekkel való kommunikáció tiltása is.

Aki esetleg még nem frissítette víruskeresőjét, az most mindenképpen tegye meg!

A fertőzött gépekre ajánlott az igyenesen letölthető eltávolító programok letöltése:

http://www.f-secure.com/tools/f-sobig.zip

http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.remov

B$H