Prim Hírek

Sobig család: hasonlóságok és a különbségek

A fantázia a végletekig szárnyalhat - de a vélelmezett megfejtést nem így lehet megtalálni, hanem a szigorú tényekből kell levonni olyan következtetést, ami összevetve mindent a legvalószínűbb. Tévedni természetesen lehet, de ez a kockázat minden hasonló jellegű valószínűségi vélelmezésnél fennáll. Egy dolgot nem szabad elfelejteni: csak az írója ismeri a célját, amit közben meg is változtathat. Mindenekelőtt a Sobig féregcsalád történetét érdemes áttekinteni, egyedenként, tulajdonságonként. Megnézni a hasonlóságokat és a különbségeket.

Eddig mindenki foglalkozott velük a szaktekintélyek közül: pl. G. Cluley - Sophos, M. Hypponen, az F-Secure vezérigazgatója, R. Vamosi, Steve Chang, a Trend Micro vezérigazgatója, Fed Cohen, Eugene Kaspersky - és a sort folytathatnám. A „C" egyed feltűnésekor E. Kaspersky zseniális megjegyzése szerint „új jelenséggel, és nem csak vírussal kell szembenézni". Igaza van...

A vírusok elnevezése nem egységes - minden észlelő laboratórium elnevezi azokat. A káosz elkerülése miatt a Generally the Computer Anti-Virus Reasearch Organization, a CARO elnevezése és besorolása a mérvadó. Eddig hat Sobig féreg vált ismertté, melyek külön családot alkotnak. Megjelenésük, észlelésük sorrendjében ezek a következők:

[bigimage 1]

Érdemes a megjelenésük idejét megnézni, és azt, hogy amelyik „időzítve" volt, mennyi ideig tartott a fertőzése. Ez, mint látható, teljesen változó, semmilyen összefüggés nincs közöttük. A „családfő", a Sobig-A időzítővel nem rendelkezett, a többi igen. A Sobig-C esetében az író hibázott, és az időzítést elrontotta - de ennek ellenére itt nem részletezendő okok miatt a terjedése leállt. Egy közös tulajdonság már ismertté vált. A következő, és nagyon fontos, hogy minden egyed saját SMTP klienssel rendelkezik, ezért terjedése nem kötött levelezőprogramokhoz, és emiatt a fertőzött gép adataiból önálló „feladókat" nevezhet meg - mely az endémiák következtében az adott ország címeihez, szokásaihoz igazodnak.

A Sobig (-A, -B, -C, az utolsó májusban vált ismertté) féregcsalád "fergeteges" karriert futott be, május óta felkerült a 20 legelterjedtebb vírus listájára, olyan "becstelen titán", mint a Klez és a Lentin (Yaha család) mellé. Az "Sobig " férgek leveleken terjednek elsősorban, a levélhez csatolt fájlokon keresztül. Először a helyi hálózatokat lepik el, majd a LAN-ra kerülve másolataikat tovább terítik, részben e-mailek, részben megosztott hálózati meghajtók révén. A féreg feljutva egy gépre, miután megfertőzte, megkeresi az összes címet, ami a gépen található, és azokat variálva küldi tovább magát.

Ezzel párhuzamosan meg kell említeni azt a sajátosságot, hogy a féreg az ún. spyware (kémprogramok) tulajdonságaival megegyezően képes egy távoli szerverről frissíteni, és képes arra, hogy frissített formában újrainstallálja magát.

„A Sobig féreg terjesztését lehet, hogy fokozták a spammerek által használt módszerrel" - számolt be a Kaspersky Labs már a Sobig.C interneten át történő terjedésével kapcsolatban. A féreg terjedésének alapos vizsgálata után a Kaspersky Labs igen komolyan hisz abban, hogy a vírusírók a „Sobig-C" féreg terjesztésénél, a tömeges levéláradat létrehozásában spamming technológiát használnak. Ez az első eset, amikor a férgek terjedésének funkcióját első alkalommal egészítették ki, erősítették meg "tömegpostázás" technikával. Az biztos, hogy ez megmagyarázná azt, hogy a "Sobig" féreg család azonnal első helyre került májusban a legelterjedtebb vírusok listáján.

Az eddigi férgek közös tulajdonsága volt: Windows PE EXE fájlok, Microsoft Visual C++-ben íródtak, UPX tömörítést alkalmaztak, 49 000 és 54 000 byte között volt a méretük (tömörítés nélkül kb110kB), hátsóajtó- (backdoor) kialakító képességük, az, hogy a hálózati nyomtatókat is kihasználták terjedésükre.

A kérdéses Sobig-F kivételével jellemzőek még hasonló tárgysoraik:


Csatolt fájl:


A Sobig-B-nél:

Subject:



Ekkor jelenik meg a megszokott üzenet:


Csatolt fájl: kissé módosult



Ezeket el lehetett mondani a Sobig-C, -D és -E férgekre.

Mi a Sobig-F esetében a különös?

A megszokott módon levélben terjed. A tárgy és a csatolt fájl kissé módosult:

Subject:



Szöveg:


Csatolt fájl:



Jelentősebb a változás a féreg tulajdonságaiban:

A féreg, az attachment kb. 70 KB méretű, TELockkal tömörített. Saját SMTP szervere van, és így közvetlenül a DNS szerverre küldi a kéréseit, használja a Network Time Protocolt. A féregtest 20 fix IP-t tartalmaz:





„Az IP-címek változását folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.

[bigimage 2]


Bizonyos feltételek találkozásakor további összetevőket tölt a szerverekre. Ehhez van szüksége az NTP használatára (nap- és időmeghatározás). A feltétel, hogy az NTP kihasználásával közvetlenül szervertől kér UTC 19:00 és 22:00 óra között időt. Kiméri, hogy a szerveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm ), és akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy csomagot az UDP 8998 porton azokra a szerverekre, melyek IP-jét tartalmazza - majd tovább PC-k re.

[bigimage 3]

Tehát kiváló port erre a célra.