Sobig-viruset legger igjen bakdør for spam

Det er bekreftet at Sobig.F, historiens raskest spredende datavirus, legger igjen en bakdør beregnet på å sende spam.

I skrivende stund er det klart at dataviruset Sobig.F fortsetter å spre seg i Norge i samme fart som for et døgn siden. De siste 48 timene har Virusfree.no stanset nesten nøyaktig dobbelt så mange Sobig.F-infiserte e-post som i de siste 24 timene. Tilsvarende internasjonal statistikk fra MessageLabs viser samme trend. Den viser også en ny rekord i forholdet e-post per virus: 17, mot normalt rundt 200.

Det er hittil blitt antatt at Sobig.F ikke har noen bestemt ødeleggende virkning utover det å spre seg i masseomfang og hindre normal levering av e-post. Det har også vært pekt på at høflige servere dobler flommen av intetsigende e-post ved å besvare hver Sobig-F-generert e-post med et varsel om at avsenderen sender infisert e-post. Siden avsenderens adresse som regel er forfalsket, fylles innmappene til usmittede brukere med anklager om at de sender ut Sobig.F.

Ytterligere analyser av Sobig.F-koden bekrefter at den også legger igjen en bakdør på den infiserte PC-en. Denne bakdøren, eller trojaneren, kan benyttes til å få PC-en til å sende ut e-post. Det innebærer at opphavet til Sobig.F kan på et blunk få alle infiserte PC-er til å sende ut spam til alle e-postadressene i den lokale e-postklientens kontaktliste og innmappe.

Analyser av tidligere varianter av Sobig har avslørt at teknikken for å spre viruset har hatt mye til feles med teknikken brukt av spammere. At Sobig.F inneholder en bakdør som kan brukes til å distribuere e-post i massomfang, tyder på at konstruksjonen følger en bevisst plan hos opphavet. Sobig.F representerer konvergens mellom virusteknologi og spamteknologi. Eksperter hos virusverneren F-Secure sier rett ut at motivet for Sobig.F er å tjene penger på spam. Spamfiltrene blir stadig mer effektive, men virusspredd spam kan lure dem.

    Les også:

En forsker hos Network Associates peker på at et angrep av en framtidig variant av Sobig.F kan følges opp av skanningsprogrammer som sporer opp infiserte maskiner og utnytter dem til å sende ut millioner på millioner av spammeldinger. Utsendelsene hopper fra maskin til maskin, slik at vanlige metoder for å blokker e-post ikke vil virke, og oppsporing blir nærmest umulig.

Inne i Sobig.F-koden er en tidsfrist, 10 september 2003, for når viruset går ut på dato. MessageLabs tolker dette som et tegn på at opphavet har gitt seg selv en frist for når viruset må utgis i en ny og "forbedret" utgave. Gitt at hver påfølgende utgave er blitt langt flinkere til å spre seg i masseomfang før virusvernerne får ut antistoff, kan man forestille seg hva man har i vente.

Til toppen