[smallimage 4 left] Ma az egész világ „Sobig-F lázban ég". A vezető antivíruscégek szinte percenként újabb információt tudnak meg a kórokozóról. Ismert már a szerkezete, ismertek a képességei, terjedése, időzítése stb. Egyvalami, ami az ismeretlenség homályába vész: miért szeptember 10-én szűnik meg, miért ekkorra időzítették, és mi történik szeptember 11-én, a WTC elleni támadás évfordulóján? Próbáljunk meg rájönni, hátha sikerül.
Sobig család: hasonlóságok és a különbségek
A fantázia a végletekig szárnyalhat - de a vélelmezett megfejtést nem így lehet megtalálni, hanem a szigorú tényekből kell levonni olyan következtetést, ami összevetve mindent a legvalószínűbb. Tévedni természetesen lehet, de ez a kockázat minden hasonló jellegű valószínűségi vélelmezésnél fennáll. Egy dolgot nem szabad elfelejteni: csak az írója ismeri a célját, amit közben meg is változtathat. Mindenekelőtt a Sobig féregcsalád történetét érdemes áttekinteni, egyedenként, tulajdonságonként. Megnézni a hasonlóságokat és a különbségeket.
Eddig mindenki foglalkozott velük a szaktekintélyek közül: pl. G. Cluley - Sophos, M. Hypponen, az F-Secure vezérigazgatója, R. Vamosi, Steve Chang, a Trend Micro vezérigazgatója, Fed Cohen, Eugene Kaspersky - és a sort folytathatnám. A „C" egyed feltűnésekor E. Kaspersky zseniális megjegyzése szerint „új jelenséggel, és nem csak vírussal kell szembenézni". Igaza van...
A vírusok elnevezése nem egységes - minden észlelő laboratórium elnevezi azokat. A káosz elkerülése miatt a Generally the Computer Anti-Virus Reasearch Organization, a CARO elnevezése és besorolása a mérvadó. Eddig hat Sobig féreg vált ismertté, melyek külön családot alkotnak. Megjelenésük, észlelésük sorrendjében ezek a következők:
[bigimage 1]
Érdemes a megjelenésük idejét megnézni, és azt, hogy amelyik „időzítve" volt, mennyi ideig tartott a fertőzése. Ez, mint látható, teljesen változó, semmilyen összefüggés nincs közöttük. A „családfő", a Sobig-A időzítővel nem rendelkezett, a többi igen. A Sobig-C esetében az író hibázott, és az időzítést elrontotta - de ennek ellenére itt nem részletezendő okok miatt a terjedése leállt. Egy közös tulajdonság már ismertté vált. A következő, és nagyon fontos, hogy minden egyed saját SMTP klienssel rendelkezik, ezért terjedése nem kötött levelezőprogramokhoz, és emiatt a fertőzött gép adataiból önálló „feladókat" nevezhet meg - mely az endémiák következtében az adott ország címeihez, szokásaihoz igazodnak.
A Sobig (-A, -B, -C, az utolsó májusban vált ismertté) féregcsalád "fergeteges" karriert futott be, május óta felkerült a 20 legelterjedtebb vírus listájára, olyan "becstelen titán", mint a Klez és a Lentin (Yaha család) mellé. Az "Sobig " férgek leveleken terjednek elsősorban, a levélhez csatolt fájlokon keresztül. Először a helyi hálózatokat lepik el, majd a LAN-ra kerülve másolataikat tovább terítik, részben e-mailek, részben megosztott hálózati meghajtók révén. A féreg feljutva egy gépre, miután megfertőzte, megkeresi az összes címet, ami a gépen található, és azokat variálva küldi tovább magát.
Ezzel párhuzamosan meg kell említeni azt a sajátosságot, hogy a féreg az ún. spyware (kémprogramok) tulajdonságaival megegyezően képes egy távoli szerverről frissíteni, és képes arra, hogy frissített formában újrainstallálja magát.
„A Sobig féreg terjesztését lehet, hogy fokozták a spammerek által használt módszerrel" - számolt be a Kaspersky Labs már a Sobig.C interneten át történő terjedésével kapcsolatban. A féreg terjedésének alapos vizsgálata után a Kaspersky Labs igen komolyan hisz abban, hogy a vírusírók a „Sobig-C" féreg terjesztésénél, a tömeges levéláradat létrehozásában spamming technológiát használnak. Ez az első eset, amikor a férgek terjedésének funkcióját első alkalommal egészítették ki, erősítették meg "tömegpostázás" technikával. Az biztos, hogy ez megmagyarázná azt, hogy a "Sobig" féreg család azonnal első helyre került májusban a legelterjedtebb vírusok listáján.
Az eddigi férgek közös tulajdonsága volt: Windows PE EXE fájlok, Microsoft Visual C++-ben íródtak, UPX tömörítést alkalmaztak, 49 000 és 54 000 byte között volt a méretük (tömörítés nélkül kb110kB), hátsóajtó- (backdoor) kialakító képességük, az, hogy a hálózati nyomtatókat is kihasználták terjedésükre.
A kérdéses Sobig-F kivételével jellemzőek még hasonló tárgysoraik: 'Re: Here is that sample'
'Re: Document'
'Re: Sample'
'Re: Movies'
Csatolt fájl: 'Sample.pif'
'Untitled1.pif'
'Document003.pif'
'Movie_0074.mpeg.pif'
A Sobig-B-nél:Subject: Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (Ref: 3394-65467)
Approved (Ref: 38446-263)
Your details
Ekkor jelenik meg a megszokott üzenet: All information is in the attached file.
Csatolt fájl: kissé módosult your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif
Ezeket el lehetett mondani a Sobig-C, -D és -E férgekre.
Mi a Sobig-F esetében a különös?A megszokott módon levélben terjed. A tárgy és a csatolt fájl kissé módosult:
Subject: Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Szöveg: See the attached file for details
Please see the attached file for details.
Csatolt fájl: your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Jelentősebb a változás a féreg tulajdonságaiban:A féreg, az attachment kb. 70 KB méretű, TELockkal tömörített. Saját SMTP szervere van, és így közvetlenül a DNS szerverre küldi a kéréseit, használja a Network Time Protocolt. A féregtest 20 fix IP-t tartalmaz:
200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21
„Az IP-címek változását folyamatosan nyomon lehet követni a
http://207.195.54.37/sobig.html weboldalon.
[bigimage 2]
(B$H)"
Bizonyos feltételek találkozásakor további összetevőket tölt a szerverekre. Ehhez van szüksége az NTP használatára (nap- és időmeghatározás). A feltétel, hogy az NTP kihasználásával közvetlenül szervertől kér UTC 19:00 és 22:00 óra között időt. Kiméri, hogy a szerveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm ), és akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy csomagot az UDP 8998 porton azokra a szerverekre, melyek IP-jét tartalmazza - majd tovább PC-k re.
[bigimage 3]
Tehát kiváló port erre a célra.