For to uker siden innledet ormen MSBlaster (også kjent som Blaster og LoveSan) en blitskrig mot Windows-servere og PC-er verden over. Dårlig håndverk fra opphavets side, kombinert med effektive mottiltak, gjorde at det bebudede tjenestenektangrepet mot Microsoft lørdag 16. august lot seg avverge. Men skadevirkningene var store, blant annet falt internettilbudet til Telia Sonera i Sverige ut for 16.000 abonnenter i flere timer.
Mandag slo en annen orm til, Nachi (også kjent som Welchia og White Hat), som etter sigende skulle spre motgift mot MSBlaster. I stedet viste Nachi seg å være mer skadelige enn MSBlaster, ved å overbelaste nettverk med skanninger og omfattende nedlastinger. Tirsdag ble IT-verden overfalt av e-postviruset Sobig.F, og med to aggressive ormer og ett superraskt virus, innledet sikkerhetsleverandører og systemadministratorer svært travle dager. E-post hopet seg opp, og det som kom fram var gjerne søppel. E-postflommen gjennom Telenor ble tredoblet. Nachi førte til kansellerte tog og fly i Nord-Amerika og rammet en rekke internett- og e-posttjenester.
Les også:
- [02.11.2004] Hvem skrev egentlig Sobig?
- [29.06.2004] Datasnokende student risikerer to års fengsel
- [04.09.2003] Enda en MSBlaster-kopist arrestert
- [01.09.2003] Arrestert tenåring var ikke hjernen bak MSBlaster-ormen
- [29.08.2003] Tenåring angivelig bak MSBlaster-ormen
- [26.08.2003] Neste Sobig kan være rett rundt hjørnet
- [25.08.2003] Sobig.F tannløs etter FBIs motangrep
- [21.08.2003] Hjelpeormen verre enn skadeormen
- [21.08.2003] Sobig-viruset legger igjen bakdør for spam
- [20.08.2003] Nachi-ormen ødela bookingsystemet
- [20.08.2003] Høflige servere dobler virusplagen
- [19.08.2003] Norge oversvømt av datavirus og ormer
- [19.08.2003] Godartet orm jakter på MSBlaster
- [18.08.2003] Feilslått ormangrep mot Microsoft
Ifølge MessageLabs-analytikeren Paul Wood kan Sobig.F føre til en økning i verdens samlede e-posttrafikk med opptil 60 prosent. I så fall vil meldinger hope seg opp i milliontall, og det kan være raskere å sende et vanlig postkort. Wood frykter at den neste utgaven av viruset – Sobig.F er den fjerde i rekken av en serie som er blitt mer ondsinnet og sprer seg raskere for hver nye utgave – kan ble enda mye verre.
Ingen har ennå prøvd å beregne kostnadene som bedrifter, organisasjoner og privatpersoner må bære som følge av de samtidige angrepene fra disse hackerskapte monstrene. Det er kanskje ikke nødvendig ennå. De digitale overfallene er uhyrlige nok til å motivere kompetente politiorganer i alle land til å innlede etterforskning. Det er mer enn ti dager siden USAs føderale politi FBI bekreftet at de etterforsket MSBlaster for å spore opp både ormens kilde og opphav. De har siden ikke vært villige til å kommentere framgangen i dette arbeidet. Heller ikke National Hi-Tech Crime Unit i Storbritannia har vært villige til å si annet enn at de arbeider med sikte på å bringe både kilde og opphav for retten.
På en måte er sporene for mange: millioner av e-post, millioner av loggoppføringer på hundretusener av servere verden over som forteller at ormer har vært på ferde, i tillegg til selve ondsinnede koden. I tidligere tilfeller har skrytende eller avslørende kommentarer, enten i selve koden eller i sosiale anledninger, bidratt til å fange opphav til virus som IloveYou og GoKar. Men felles for MSBlaster, Nachi og Sobig.F, er at koden inneholder svært lite.
I koden til Nachi er kinesiske ord og navn. Network Associates har uttalt til mediene at det er tegn på at opphavet er kinesisk. Det som er avslørt i MSBlaster er derimot kommentarer på ulastelig engelsk. Derfor mener F-Secure at opphavet må være fra et engelsktalende land.
Når det gjelder Sobig.F, ser det ut til at det praktisk talt ikke er noe å gå etter, bortsett fra en antatt forbindelse til aktive spammiljøer på grunn av måten viruset oppfører seg på – det sprer enorme mengder e-post på utrolig kort tid, og legger igjen en bakdør som kan brukes til en framtidig selvoppdatering, blant annet med nye meldinger til masseutsending.
Sobig.F inneholder en selvutslettelsesdato, 10. september. Det har vært antatt at dette innebærer en frist som opphavet har pålagt seg selv for å komme med en ny og forbedret versjon.
Virusverneren Central Command har en annen tolkning. De peker på at Sobig.F har noen svært intrikate prosedyrer for å sjekke universaltiden UTC – Universal Coordinated Time – fra en rekke tidsservere, og velger bestemte tidsintervaller for å sende og motta pakker. Blant de mottatte pakkene er URL-adresser til filer som viruset laster ned og kjører. Central Command mener alt dette tyder på at Sobig.F kan være i ferd med å forberede ett eller annet svært ille til 11. september eller en av de påfølgende dagene.
