Kraftig spredning av ny Sober-orm

En ny variant av e-postormen Sober er under kraftig spredning. Ikke alle antivirusverktøy er klare til å ta den imot.

En ny variant av Sober-ormen spres nå kraftig blant norske e-postbrukere. Ormen, som av Norman kalles Sober.n, har svært mye felles med forgjengerne. Trolig er det stort sett teksten i meldingen som skiller denne fra blant annet J-varianten.

Snorre Fagerland, virusanalytiker hos Norman, forteller at ormen sender e-postmeldinger med enten engelsk eller tysk tekst, avhengig av i hvilket land mottakeren befinner seg. Meldingene som digi.no har mottatt, har tittelen "I've_got your EMail on my_account!", mens teksten i selve meldingen er som følger:

"Hello,

First, Very Sorry for my bad English.

Someone is sending your private e-mails on my address.

It's probably an e-mail provider error!

At time, I've got over 10 mails on my account, but the recipient are you.

I have copied all the mail text in the windows text-editor for you & zipped then.

Make sure, that this mails don't come in my mail-box again.

bye
"

Da digi.no snakket med Fagerland i morgentimene i dag, var oppdaterte virusdefinisjoner fra Norman klare og på vei ut til distribusjonsserverne, men ennå ikke tilgjengelige for nedlasting.

Til enkelte andre antivirusverktøy, for eksempel Avast! Antivirus fra Alwil Software, kunne man få tak oppdateringer som fanger opp ormen ved manuelt å sette i gang nedlastingen av disse. I digi.nos tilfelle rapporterte dette antivirusproduktet om at ormen i meldingene er Sober-L, en betegnelse som vanligvis benyttes om en eldre variant.

Ulike antivirusselskap og deres skannere er ofte uenige om versjonsbetegnelsen på ormer og virus. Fagerland innrømmer at dette kan være et stort problem og at det skaper forvirring blant vanlige PC-brukere. Han mener likevel at dette er relativt håndterbart når det gjelder slike profilerte ormer som Sobig.

- Det er langt verre med for eksempel enkelte trojanere, hvor det finnes tusenvis av varianter innen samme familie, sier han.

Fagerland forteller at N-betegnelsen for denne varianten av Sobig fortsatt diskuteres, og at enkelte andre bruker betegnelse M i stedet.

Ifølge Fagerland, vil Sober.N-varianten forsøke å avslutte en del forskjellig sikkerhetsprogramvare. Det er ikke kjent om ormen utover dette kan gjøre annen skade enn å spre seg per e-post til flest mulig av e-postadressene den finner på maskinene den har infisert.

Sobig kan kun infisere Windows-baserte maskiner.

Til toppen