Neste Sobig kan være rett rundt hjørnet

Virusekspertene vet ikke om spor som kan avsløre Sobig-virusenes opphav. De advarer at neste variant kan komme før 10. september.

Sobig.F var den sjette i en rekke av spesielle datavirus som har dukket opp siden januar. Sobig-virusene er blitt stadig raskere til å spre seg, og analyser av koden viser at hensikten – å plante kode som siden kan aktiveres for å få infiserte maskiner til å sende ut spam – er stadig mer åpenbar. Eksperter fra IT-sikkerhetsselskaper som F-Secure og TruSecure mener at det ligger en klar forretningside bak det hele – å selge adresselister over infiserte maskiner til spammere – og at opphavet har både et budsjett, en forretningsplan, og en utviklingsplan.

    Les også:

I likhet med alle forgjengerne, unntatt den første, har Sobig.F innebygget en dato, i dette tilfellet 10. september 2003, der koden deaktiverer seg selv. Man har hittil antatt at neste utgave, Sobig.G, kan ventes fra 11. september og utover. Det stemmer at Sobig.C og Sobig.D kom etter deaktiveringsdatoen til sine forgjengere. Men Mikko Hypponen i F-Secure peker på at Sobig.E dukket opp allerede 25. juni, mens Sobig.D deaktiverte seg selv først uken etter. Utfra dette mønsteret frykter han at Sobig.G kan komme en tid før Sobig.F deaktiverer seg selv 10. september.

Hvor Sobig.G vil dukke opp, har ingen spekulert rundt ennå. Man vet at Sobig.F ble gjemt i et pornografisk bilde som ble lagt ut på et Usenet diskusjonsforum 18. august. Avsenderen var en hjemme-PC med et kabelmodem, og utleggingen skjedde gjennom tjenesten til Easynews, en tilbyder i den amerikanske delstaten Arizona. En talsperson for selskapet bekrefter at hjemme-PC-en var hacket, og at Easynet-kontoen som ble brukt, var åpnet med et stjålet kredittkort. Kontoen er øyensynlig ikke brukt verken før eller siden. Hackingen av avsender-PC-en skjedde gjennom en eller flere proxy-servere. Sobig.F-opphavet har med andre ord gjort alt etter boka for å opptre fullstendig anonymt. Å tro at man vil kunne spore han eller dem gjennom IP-adresser karakteriseres som "søkt" av eksperter som uttaler seg til amerikanske medier.

Sobig.F fortsetter å spre seg. Tall fra Virusfree.no, som stammer fra e-postfilteret til Itegra, viser at mengden infisert e-post er tilbake på det nivået det var før helgen, med 2.754 tilfeller det siste døgnet, mer enn for lørdag og søndag til sammen. Statistikken viser dessuten at 83,4 prosent er spredd gjennom private domener. Dette forholdet er typisk for en epidemisk tilstand. Når det ikke er noe spesielt utbrudd på gang, stammer den infiserte e-posten i hovedsak fra domener tilhørende tilbydere.

MessageLabs melder derimot at frekvensen fortsetter å avta. Nå er det gjennomsnittlig en av 50 e-postmeldinger som er infisert, mot en av 17 når Sobig.F spredte seg som verst. Det er fortsatt langt over det vanlige nivået de siste månedene, på rundt en av 200.

Erfaringen med Sobig.F har for øvrig fått CERT til å endre sin anbefaling om forholdsregel for e-post med vedlegg. Før het det at man bare skal åpne vedlegg dersom man kjenner avsenderen. Siden Sobig.F konsekvent gir seg ut for å komme fra folk som mottakeren kjenner, er denne regelen, ifølge New York Times, endret til: "Ikke åpne noe vedlegg med mindre du vet at det er noe bestemt som du venter på."

Til toppen