Sobig.F tannløs etter FBIs motangrep

Amerikanske myndigheter stengte 20 servere som skulle koordinert Sobig.F-infiserte maskiner i et tjenestenektangrep.

Ytterligere finlesing av Sobig.F-koden fredag ga USAs føderale politi FBI adressene til 20 servere i USA og Canada som skulle forsyne infiserte PC-er og servere med oppdatert kode. Man antar at koden skulle koordinere de infiserte maskinene i distribuert forsendelse av store mengder e-post, og at hensikten kan ha vært å gjennomføre et tjenestenektangrep mot en ikke oppgitt instans. I et lengre tidsperspektiv tror man at opphavet til virusserien Sobig eksperimenterer med hvordan datavirus kan brukes til å spre spam, altså søppelpost.

    Les også:

Det ble gjennomført tiltak for å kople de 20 serverne av nettet, og fredag kveld var det klart at Sobig.Fs programmerte nedlasting mislyktes. Sobig.F-infiserte maskiner prøvde seg på en ny nedlasting søndag, med like umerkelig resultat. Den eneste virkningen var at maskinene oppsøkte et ikke-oppgitt pornografisk nettsted uten ytterligere tilføyelse av ondsinnet kode.

FBI har greid å spore smitten tilbake til en nettjeneste i den amerikanske delstaten Arizona, Easynews.com. Easynews tilbyr tilgang til hele Usenet, også til pornografiske fora. Den første Sobig.F-koden ble øyensynlig utløst da et bestemt bilde ble lastet ned 18. august. Easynews har gitt FBI en liste over alle IP-adresser som var innom nettstedet den dagen. Ifølge uavhengige eksperter er det lite trolig at en granskning av disse adressene vil gi noen direkte forbindelse til virusets opphav. Easynews har bekreftet overfor Associated Press at kontoen som ble brukt til å lansere viruset antakelig ble betalt med et stjålet kredittkort.

Imens er ofre og systemadministratorer i ferd med å lykkes i opprenskningsarbeidet. Tall fra Virusfree.no viser at antallet smittede e-postmeldinger gjennom Itegras filtre falt fra 1037 lørdag til 981 søndag, mot gjennomsnittlig 1900 i døgnet de fem foregående døgn. Tall fra Trend Micro viser en nedgang i antall smittede maskiner fra 145.264 lørdag til 98.205 søndag. Tallet på smittede maskiner faller i Nordamerika og Europa, men fortsetter å øke i Asia, der spredningen har vært og fortsatt er langt mindre.

Trend Micros tall rimer dårlig med en undersøkelse gjennomført av det kinesiske IT-sikkerhetsselskapet Beijing Rising Technology Shareholding, ifølge Reuters. Selskapet har gjennomført en undersøkelse blant en million brukere, og konkludert med at30 prosent av alle e-postbrukere i Kina har både fått smittet e-post, og har klikket på vedlegget som gjør dem selv til smittespredere. Det skulle innebære at 20 millioner kinesiske PC-er er Sobig.F-aktive. En talsperson for selskapet anslår at bare 60 til 70 prosent av kinesiske internauter har antivirusprogramvare, og at bare halvparten av dem med virusvern oppdaterer den regelmessig.

Dataeksperter verden over anbefaler meget sterkt at e-postbrukere lærer seg å la være å klikke på vedlegg som distribueres med intetsigende meldinger, selv om de tilsynelatende er sendt fra folk man kjenner. Videre må man ha lokalt installert virusvern, og sørge for å oppdatere det regelmessig, i tråd med leverandørens anbefalinger.

Selv om Sobig.F ser ut til å være i ferd med å ebbe ut, og viruset er programmert til å ødelegge seg selv 10 september, advares det også mot å tro at faren er over for denne gang. Opphavet til Sobig-serien har vist seg å være svært dyktig til å forbedre koden for hver nye utgave av viruset. Flere eksperter mener F-varianten er det raskest spredende dataviruset verden har opplevd hittil, og venter at neste utgave setter en ny rekord.

Til toppen