Sobig-F: mi várható szeptember 11-én?

forrás Prim Online, 2003. augusztus 24. 08:48
[smallimage 4 left] Ma az egész világ „Sobig-F lázban ég". A vezető antivíruscégek szinte percenként újabb információt tudnak meg a kórokozóról. Ismert már a szerkezete, ismertek a képességei, terjedése, időzítése stb. Egyvalami, ami az ismeretlenség homályába vész: miért szeptember 10-én szűnik meg, miért ekkorra időzítették, és mi történik szeptember 11-én, a WTC elleni támadás évfordulóján? Próbáljunk meg rájönni, hátha sikerül.

Sobig család: hasonlóságok és a különbségek


A fantázia a végletekig szárnyalhat - de a vélelmezett megfejtést nem így lehet megtalálni, hanem a szigorú tényekből kell levonni olyan következtetést, ami összevetve mindent a legvalószínűbb. Tévedni természetesen lehet, de ez a kockázat minden hasonló jellegű valószínűségi vélelmezésnél fennáll. Egy dolgot nem szabad elfelejteni: csak az írója ismeri a célját, amit közben meg is változtathat. Mindenekelőtt a Sobig féregcsalád történetét érdemes áttekinteni, egyedenként, tulajdonságonként. Megnézni a hasonlóságokat és a különbségeket.

Eddig mindenki foglalkozott velük a szaktekintélyek közül: pl. G. Cluley - Sophos, M. Hypponen, az F-Secure vezérigazgatója, R. Vamosi, Steve Chang, a Trend Micro vezérigazgatója, Fed Cohen, Eugene Kaspersky - és a sort folytathatnám. A „C" egyed feltűnésekor E. Kaspersky zseniális megjegyzése szerint „új jelenséggel, és nem csak vírussal kell szembenézni". Igaza van...

A vírusok elnevezése nem egységes - minden észlelő laboratórium elnevezi azokat. A káosz elkerülése miatt a Generally the Computer Anti-Virus Reasearch Organization, a CARO elnevezése és besorolása a mérvadó. Eddig hat Sobig féreg vált ismertté, melyek külön családot alkotnak. Megjelenésük, észlelésük sorrendjében ezek a következők:

[bigimage 1]

Érdemes a megjelenésük idejét megnézni, és azt, hogy amelyik „időzítve" volt, mennyi ideig tartott a fertőzése. Ez, mint látható, teljesen változó, semmilyen összefüggés nincs közöttük. A „családfő", a Sobig-A időzítővel nem rendelkezett, a többi igen. A Sobig-C esetében az író hibázott, és az időzítést elrontotta - de ennek ellenére itt nem részletezendő okok miatt a terjedése leállt. Egy közös tulajdonság már ismertté vált. A következő, és nagyon fontos, hogy minden egyed saját SMTP klienssel rendelkezik, ezért terjedése nem kötött levelezőprogramokhoz, és emiatt a fertőzött gép adataiból önálló „feladókat" nevezhet meg - mely az endémiák következtében az adott ország címeihez, szokásaihoz igazodnak.

A Sobig (-A, -B, -C, az utolsó májusban vált ismertté) féregcsalád "fergeteges" karriert futott be, május óta felkerült a 20 legelterjedtebb vírus listájára, olyan "becstelen titán", mint a Klez és a Lentin (Yaha család) mellé. Az "Sobig " férgek leveleken terjednek elsősorban, a levélhez csatolt fájlokon keresztül. Először a helyi hálózatokat lepik el, majd a LAN-ra kerülve másolataikat tovább terítik, részben e-mailek, részben megosztott hálózati meghajtók révén. A féreg feljutva egy gépre, miután megfertőzte, megkeresi az összes címet, ami a gépen található, és azokat variálva küldi tovább magát.

Ezzel párhuzamosan meg kell említeni azt a sajátosságot, hogy a féreg az ún. spyware (kémprogramok) tulajdonságaival megegyezően képes egy távoli szerverről frissíteni, és képes arra, hogy frissített formában újrainstallálja magát.

„A Sobig féreg terjesztését lehet, hogy fokozták a spammerek által használt módszerrel" - számolt be a Kaspersky Labs már a Sobig.C interneten át történő terjedésével kapcsolatban. A féreg terjedésének alapos vizsgálata után a Kaspersky Labs igen komolyan hisz abban, hogy a vírusírók a „Sobig-C" féreg terjesztésénél, a tömeges levéláradat létrehozásában spamming technológiát használnak. Ez az első eset, amikor a férgek terjedésének funkcióját első alkalommal egészítették ki, erősítették meg "tömegpostázás" technikával. Az biztos, hogy ez megmagyarázná azt, hogy a "Sobig" féreg család azonnal első helyre került májusban a legelterjedtebb vírusok listáján.

Az eddigi férgek közös tulajdonsága volt: Windows PE EXE fájlok, Microsoft Visual C++-ben íródtak, UPX tömörítést alkalmaztak, 49 000 és 54 000 byte között volt a méretük (tömörítés nélkül kb110kB), hátsóajtó- (backdoor) kialakító képességük, az, hogy a hálózati nyomtatókat is kihasználták terjedésükre.

A kérdéses Sobig-F kivételével jellemzőek még hasonló tárgysoraik:

'Re: Here is that sample'

'Re: Document'

'Re: Sample'

'Re: Movies'

Csatolt fájl:

'Sample.pif'

'Untitled1.pif'

'Document003.pif'

'Movie_0074.mpeg.pif'

A Sobig-B-nél:

Subject:

Re: My application

Re: Movie

Cool screensaver

Screensaver

Re: My details

Your password

Re: Approved (Ref: 3394-65467)

Approved (Ref: 38446-263)

Your details

Ekkor jelenik meg a megszokott üzenet:

All information is in the attached file.

Csatolt fájl: kissé módosult

your_details.pif

ref-394755.pif

approved.pif

password.pif

doc_details.pif

screen_temp.pif

screen_doc.pif

movie28.pif

application.pif

Ezeket el lehetett mondani a Sobig-C, -D és -E férgekre.

Mi a Sobig-F esetében a különös?

A megszokott módon levélben terjed. A tárgy és a csatolt fájl kissé módosult:

Subject:

Re: Thank you!

Thank you!

Your details

Re: Details

Re: Re: My details

Re: Approved

Re: Your application

Re: Wicked screensaver

Re: That movie

Szöveg:

See the attached file for details

Please see the attached file for details.

Csatolt fájl:

your_document.pif

document_all.pif

thank_you.pif

your_details.pif

details.pif

document_9446.pif

application.pif

wicked_scr.scr

movie0045.pif

Jelentősebb a változás a féreg tulajdonságaiban:

A féreg, az attachment kb. 70 KB méretű, TELockkal tömörített. Saját SMTP szervere van, és így közvetlenül a DNS szerverre küldi a kéréseit, használja a Network Time Protocolt. A féregtest 20 fix IP-t tartalmaz:

200.68.60.246

62.119.40.98

150.254.183.15

132.181.12.13

193.79.237.14

131.188.3.222

131.188.3.220

193.5.216.14

193.67.79.202

133.100.11.8

193.204.114.232

138.96.64.10

chronos.cru.fr

212.242.86.186

128.233.3.101

142.3.100.2

200.19.119.69

137.92.140.80

129.132.2.21

„Az IP-címek változását folyamatosan nyomon lehet követni a http://207.195.54.37/sobig.html weboldalon.

[bigimage 2]

(B$H)"

Bizonyos feltételek találkozásakor további összetevőket tölt a szerverekre. Ehhez van szüksége az NTP használatára (nap- és időmeghatározás). A feltétel, hogy az NTP kihasználásával közvetlenül szervertől kér UTC 19:00 és 22:00 óra között időt. Kiméri, hogy a szerveren az idő 19:00 és 22:00 UTC+0 között van (angol idő szerint 8 pm-11 pm ), és akkor pénteken és vasárnap, a héttől függetlenül a Sobib-F (W32/Sobig-F) küld egy csomagot az UDP 8998 porton azokra a szerverekre, melyek IP-jét tartalmazza - majd tovább PC-k re.

[bigimage 3]

Tehát kiváló port erre a célra.

Kulcsszavak: Sophos vírus bank

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59