Sobig-F: mi várható szeptember 11-én?
forrás Prim Online, 2003. augusztus 24. 08:48
[smallimage 4 left] Ma az egész világ „Sobig-F lázban ég". A vezető antivíruscégek szinte percenként újabb információt tudnak meg a kórokozóról. Ismert már a szerkezete, ismertek a képességei, terjedése, időzítése stb. Egyvalami, ami az ismeretlenség homályába vész: miért szeptember 10-én szűnik meg, miért ekkorra időzítették, és mi történik szeptember 11-én, a WTC elleni támadás évfordulóján? Próbáljunk meg rájönni, hátha sikerül.
Sobig család: hasonlóságok és a különbségek
A fantázia a végletekig szárnyalhat - de a vélelmezett megfejtést nem így lehet megtalálni, hanem a szigorú tényekből kell levonni olyan következtetést, ami összevetve mindent a legvalószínűbb. Tévedni természetesen lehet, de ez a kockázat minden hasonló jellegű valószínűségi vélelmezésnél fennáll. Egy dolgot nem szabad elfelejteni: csak az írója ismeri a célját, amit közben meg is változtathat. Mindenekelőtt a Sobig féregcsalád történetét érdemes áttekinteni, egyedenként, tulajdonságonként. Megnézni a hasonlóságokat és a különbségeket.
Eddig mindenki foglalkozott velük a szaktekintélyek közül: pl. G. Cluley - Sophos, M. Hypponen, az F-Secure vezérigazgatója, R. Vamosi, Steve Chang, a Trend Micro vezérigazgatója, Fed Cohen, Eugene Kaspersky - és a sort folytathatnám. A „C" egyed feltűnésekor E. Kaspersky zseniális megjegyzése szerint „új jelenséggel, és nem csak vírussal kell szembenézni". Igaza van...
A vírusok elnevezése nem egységes - minden észlelő laboratórium elnevezi azokat. A káosz elkerülése miatt a Generally the Computer Anti-Virus Reasearch Organization, a CARO elnevezése és besorolása a mérvadó. Eddig hat Sobig féreg vált ismertté, melyek külön családot alkotnak. Megjelenésük, észlelésük sorrendjében ezek a következők:
[bigimage 1]
Érdemes a megjelenésük idejét megnézni, és azt, hogy amelyik „időzítve" volt, mennyi ideig tartott a fertőzése. Ez, mint látható, teljesen változó, semmilyen összefüggés nincs közöttük. A „családfő", a Sobig-A időzítővel nem rendelkezett, a többi igen. A Sobig-C esetében az író hibázott, és az időzítést elrontotta - de ennek ellenére itt nem részletezendő okok miatt a terjedése leállt. Egy közös tulajdonság már ismertté vált. A következő, és nagyon fontos, hogy minden egyed saját SMTP klienssel rendelkezik, ezért terjedése nem kötött levelezőprogramokhoz, és emiatt a fertőzött gép adataiból önálló „feladókat" nevezhet meg - mely az endémiák következtében az adott ország címeihez, szokásaihoz igazodnak.
A Sobig (-A, -B, -C, az utolsó májusban vált ismertté) féregcsalád "fergeteges" karriert futott be, május óta felkerült a 20 legelterjedtebb vírus listájára, olyan "becstelen titán", mint a Klez és a Lentin (Yaha család) mellé. Az "Sobig " férgek leveleken terjednek elsősorban, a levélhez csatolt fájlokon keresztül. Először a helyi hálózatokat lepik el, majd a LAN-ra kerülve másolataikat tovább terítik, részben e-mailek, részben megosztott hálózati meghajtók révén. A féreg feljutva egy gépre, miután megfertőzte, megkeresi az összes címet, ami a gépen található, és azokat variálva küldi tovább magát.
Ezzel párhuzamosan meg kell említeni azt a sajátosságot, hogy a féreg az ún. spyware (kémprogramok) tulajdonságaival megegyezően képes egy távoli szerverről frissíteni, és képes arra, hogy frissített formában újrainstallálja magát.
„A Sobig féreg terjesztését lehet, hogy fokozták a spammerek által használt módszerrel" - számolt be a Kaspersky Labs már a Sobig.C interneten át történő terjedésével kapcsolatban. A féreg terjedésének alapos vizsgálata után a Kaspersky Labs igen komolyan hisz abban, hogy a vírusírók a „Sobig-C" féreg terjesztésénél, a tömeges levéláradat létrehozásában spamming technológiát használnak. Ez az első eset, amikor a férgek terjedésének funkcióját első alkalommal egészítették ki, erősítették meg "tömegpostázás" technikával. Az biztos, hogy ez megmagyarázná azt, hogy a "Sobig" féreg család azonnal első helyre került májusban a legelterjedtebb vírusok listáján.
Az eddigi férgek közös tulajdonsága volt: Windows PE EXE fájlok, Microsoft Visual C++-ben íródtak, UPX tömörítést alkalmaztak, 49 000 és 54 000 byte között volt a méretük (tömörítés nélkül kb110kB), hátsóajtó- (backdoor) kialakító képességük, az, hogy a hálózati nyomtatókat is kihasználták terjedésükre.
A kérdéses Sobig-F kivételével jellemzőek még hasonló tárgysoraik:
'Re: Here is that sample'
'Re: Document'
'Re: Sample'
'Re: Movies'
'Re: Document'
'Re: Sample'
'Re: Movies'
Csatolt fájl:
'Sample.pif'
'Untitled1.pif'
'Document003.pif'
'Movie_0074.mpeg.pif'
'Untitled1.pif'
'Document003.pif'
'Movie_0074.mpeg.pif'
A Sobig-B-nél:
Subject:
Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (Ref: 3394-65467)
Approved (Ref: 38446-263)
Your details
Approved (Ref: 38446-263)
Your details
Ekkor jelenik meg a megszokott üzenet:
All information is in the attached file.
Csatolt fájl: kissé módosult
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif
Ezeket el lehetett mondani a Sobig-C, -D és -E férgekre.
Mi a Sobig-F esetében a különös?
A megszokott módon levélben terjed. A tárgy és a csatolt fájl kissé módosult:
Subject:
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Re: Wicked screensaver
Re: That movie
Szöveg:
See the attached file for details
Please see the attached file for details.
Please see the attached file for details.
Csatolt fájl:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
movie0045.pif
Jelentősebb a változás a féreg tulajdonságaiban:
A féreg, az attachment kb. 70 KB méretű, TELockkal tömörített. Saját SMTP szervere van, és így közvetlenül a DNS szerverre küldi a kéréseit, használja a Network Time Protocolt. A féregtest 20 fix IP-t tartalmaz:
200.68.60.246
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
62.119.40.98
150.254.183.15
132.181.12.13
193.79.237.14
131.188.3.222
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
131.188.3.220
193.5.216.14
193.67.79.202
133.100.11.8
193.204.114.232
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
138.96.64.10
chronos.cru.fr
212.242.86.186
128.233.3.101
142.3.100.2
200.19.119.69
137.92.140.80
129.132.2.21
200.19.119.69
137.92.140.80
129.132.2.21
„Az IP-címek változását folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.
[bigimage 2]
(B$H)"
Bizonyos feltételek találkozásakor további összetevőket tölt a szerverekre. Ehhez van szüksége az NTP használatára (nap- és időmeghatározás). A feltétel, hogy az NTP kihasználásával közvetlenül szervertől kér UTC 19:00 és 22:00 óra között időt. Kiméri, hogy a szerveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm ), és akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy csomagot az UDP 8998 porton azokra a szerverekre, melyek IP-jét tartalmazza - majd tovább PC-k re.
[bigimage 3]
Tehát kiváló port erre a célra.
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.
2024. november 4. 13:17