A Sobig második hulláma - Nem véletlen a 10-ei leállás?
forrás Prim Online, 2003. augusztus 23. 15:58
[smallimage 1 left] A Sophos jelenetése szerint a Sobig.F második támadó hulláma várható. A vírusirtókat gyártó cég szerint a féreg minden pénteken és vasárnap este 7 és 10 óra között a fertőzött gépekről kísérletet tesz arra, hogy a vírus írójának szerverével kapcsolatot létesítsen, ahonnan károkozó programot tölt le.
W32/Sobig-F felhasználja a Network Time Protocolt (NTP), hogy több szerver egyikére belépjen, azért, hogy meghatározza az aktuális időt és a dátumot. Ha az NTP felhasználásával megállapítja, hogy a serveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm), akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy UDP csomagot a 8998 porton, távoli szerverekre, gépekre. Ezt ki lehet használni letöltesekre, trojai falovak vagy más kódok futtatásara is.
A vírus szeptember 10-én deaktiválódik. Egyes szakértők szerint elképzelhető, hogy nem véletlen a 10-ei leállás. Feltételezik, hogy "ez a vihar előtti csend", és a vírus által letöltött kódok segítségével szeptember 11-én - a New York elleni terrortámadás évfordulóján - a fertőzött gépek összehangolt támadást (DDOS - Distributed Denial of Service attack) indítanak valamilyen nagyobb rendszer ellen. Egy ilyen vírus álltal összehangolt támadásnak sikerült megbénítania a Fehér Ház szerverét is.
A féreg ezekhez a címekre akar csatlakozni:
A IP címek állapotát folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.
Ezt megelőzvén a Sophos javasolja, hogy a tűzfal 8998 UDP portját zárják el minden kifelé irányuló összeköttetés elől. Valamint javasolt még a felsorolt IP címekkel való kommunikáció tiltása is.
Aki esetleg még nem frissítette víruskeresőjét, az most mindenképpen tegye meg!
A fertőzött gépekre ajánlott az igyenesen letölthető eltávolító programok letöltése:
http://www.f-secure.com/tools/f-sobig.zip
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.remov
A vírus szeptember 10-én deaktiválódik. Egyes szakértők szerint elképzelhető, hogy nem véletlen a 10-ei leállás. Feltételezik, hogy "ez a vihar előtti csend", és a vírus által letöltött kódok segítségével szeptember 11-én - a New York elleni terrortámadás évfordulóján - a fertőzött gépek összehangolt támadást (DDOS - Distributed Denial of Service attack) indítanak valamilyen nagyobb rendszer ellen. Egy ilyen vírus álltal összehangolt támadásnak sikerült megbénítania a Fehér Ház szerverét is.
A féreg ezekhez a címekre akar csatlakozni:
IP / Host
67.73.21.6 / dialup-67.73.21.6.Dial1.LosAngeles1.Level3.net
68.38.159.161 / pcp04447100pcs.verona01.nj.comcast.net
67.9.241.67 / cs679241-67.jam.rr.com
66.131.207.81 / modemcable081.207-131-66.nowhere.mc.videotron.ca
65.177.240.194 / sdn-ap-030caburbP0194.dialsprint.net
65.93.81.59 / Kingston-HSE-ppp3559860.sympatico.ca
65.95.193.138 / Toronto-HSE-ppp3672941.sympatico.ca
65.92.186.145 / HSE-Montreal-ppp3465567.sympatico.ca
63.250.82.87 / dyn-87.monticello.net
65.92.80.218 / HSE-Toronto-ppp3480573.sympatico.ca
61.38.187.59 / 61.38.187.59
24.210.182.156 / dhcp024-210-182-156.woh.rr.com
24.202.91.43 / modemcable043.91-202-24.mtl.mc.videotron.ca
24.206.75.137 / user-0ccsis9.cable.mindspring.com
24.197.143.132 / ip-24-197-143-132.spart.sc.charter.com
12.158.102.205 / 12.158.102.205
24.33.66.38 / cpe-024-033-066-038.cinci.rr.com
218.147.164.29 / 218.147.164.29
12.232.104.221 / 12-232-104-221.client.attbi.com
68.50.208.96 / pcp694043pcs.anaprd01.md.comcast.net
67.73.21.6 / dialup-67.73.21.6.Dial1.LosAngeles1.Level3.net
68.38.159.161 / pcp04447100pcs.verona01.nj.comcast.net
67.9.241.67 / cs679241-67.jam.rr.com
66.131.207.81 / modemcable081.207-131-66.nowhere.mc.videotron.ca
65.177.240.194 / sdn-ap-030caburbP0194.dialsprint.net
65.93.81.59 / Kingston-HSE-ppp3559860.sympatico.ca
65.95.193.138 / Toronto-HSE-ppp3672941.sympatico.ca
65.92.186.145 / HSE-Montreal-ppp3465567.sympatico.ca
63.250.82.87 / dyn-87.monticello.net
65.92.80.218 / HSE-Toronto-ppp3480573.sympatico.ca
61.38.187.59 / 61.38.187.59
24.210.182.156 / dhcp024-210-182-156.woh.rr.com
24.202.91.43 / modemcable043.91-202-24.mtl.mc.videotron.ca
24.206.75.137 / user-0ccsis9.cable.mindspring.com
24.197.143.132 / ip-24-197-143-132.spart.sc.charter.com
12.158.102.205 / 12.158.102.205
24.33.66.38 / cpe-024-033-066-038.cinci.rr.com
218.147.164.29 / 218.147.164.29
12.232.104.221 / 12-232-104-221.client.attbi.com
68.50.208.96 / pcp694043pcs.anaprd01.md.comcast.net
A IP címek állapotát folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.
Ezt megelőzvén a Sophos javasolja, hogy a tűzfal 8998 UDP portját zárják el minden kifelé irányuló összeköttetés elől. Valamint javasolt még a felsorolt IP címekkel való kommunikáció tiltása is.
Aki esetleg még nem frissítette víruskeresőjét, az most mindenképpen tegye meg!
A fertőzött gépekre ajánlott az igyenesen letölthető eltávolító programok letöltése:
http://www.f-secure.com/tools/f-sobig.zip
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.remov
Kapcsolódó cikkek
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Sophos biztonsági megoldás a General Electric 350.000 gépén
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- Naponta közel tízezer újabb víruskóddal fertőzött oldalt talál a Sophos
- Még nem fertőzött a PC-je? Kattintson ide, és az lesz...