Titkozatos programot tölt le és futtat ma este a Sobig.F vírus
[Vírushíradó] Az F-Secure új veszélyre figyelmeztet az újonnan felbukkant Sobig.F féreggel kapcsolatban: közép-európai idő szerint ma 21:00-kor egy titokzatos programot tölt le, majd futtatja azt.
A Sobig.F, mely jelenleg a legelterjedtebb windowsos levelező féreg a világon, már megjelenésekor, augusztus 18-án hatalmas e-mail forgalmat generált. A vírus fertőzött csatolt fájlként terjed, az e-mail feladóját pedig meghamisítja. Az interneten már közel 100 millió fertõzött levél kering a féreg négy nappal ezelőtti megjelenése óta.
Azonban a Sobig.F még tartogat meglepetéseket. Minden fertőzött rendszer a második fázisba lép ma, 2003. augusztus 22-én. Ezen számítógépek egy atomórához szinkronizálják magukat, és közép-európai idõ szerint világszerte pontban 21:00:00-kor aktiválják a második fázist. Londonban 20 órakor, San Francisco-ban 12:00-kor, Sydney-ben pedig szombat hajnali 5-kor.
Az említett idõpontban a féreg egy a víruskódban kódolt formában elrejtett listán szereplő gépekre kezd csatlakozni. A lista húsz számítógép címét tartalmazza, melyek az Egyesült Államokban, Kanadában és Dél-Koreában vannak elhelyezve.
"Ez a húsz gép tipikus otthoni PC-nek tűnik, melyek állandó DSL kapcsolattal csatlakoznak a világhálóra" -- mondta Mikko Hypponen, az F-Secure antivírus részlegének igazgatója. "Valószínűsíthetõ, hogy a Sobig.F mögött álló csoport már korábban betört ezen gépekre, és most a támadásban való részvételre használják ki a rendszereket."
A féreg a megadott húsz szerver közül egyhez csatlakozik, majd egy 8 bájtos titkos kóddal azonosítja magát. A szerver ezután egy webcímmel válaszol. A fertõzött számítógépek végül letöltenek egy programot a megadott címről, és futtatják azt. Jelenleg nem lehet semmit sem tudni arról, hogy mit fog tenni ez a rejtélyes program.
Az F-Secure be tudott törni a rendszerbe, és feltörték a titkosítást is, azonban a szerverek által elküldött webcím jelenleg sehova sem mutat. "A vírus készítői tisztában voltak vele, hogy előre letölthetnénk a programot, elemezhetnénk, majd megtehetnénk a szükséges óvintézkedéseket", mondta Hypponen. "Úgy tűnik, az a tervük, hogy csupán az említett idõpont előtt néhány másodperccel változtatják meg a webcímet a helyes címre. Amikor már lemásolhatnánk a programot, a fertőzött rendszerek is megkapták és futtatták azt."
Jelenleg senki sem tudja, hogy a program mit fog tenni. Károkat okozhat, például letörölhet fájlokat, vagy hálózati támadásokat indíthat el. A Sobig korábbi verziói már futtattak hasonló, ám egyszerűbb rutinokat. Például a Sobig.E féreg letöltött egy programot, mely eltávolította magát a vírust (ezzel is elrejtve a saját nyomait), majd elkezdte a felhasználók hálózati és webes jelszavait gyűjteni.
Ezek után a féreg egy rejtett e-mail proxy-t telepített, melyet különbözõ spammerek használtak reklámok küldésére a számítógépek tulajdonosainak tudta nélkül. Lehetséges, hogy a Sobig.F is ehhez hasonlót fog tenni, de erről semmit sem tudhatunk 21 óráig.
"Amióta feltörtük a féreg által használt titkosítást az említett húsz számítógépet tartalmazó lista elrejtésére, azon vagyunk, hogy leállítsuk ezen gépeket" -- magyarázta Mikko Hypponen. Az F-Secure hivatalos szervekkel és különbözõ CERT szervezetekkel együtt dolgozik azon, hogy bontsák ezen gépek Internet-kapcsolatát. "Sajnos a vírus készítői erre a lépésre is gondoltak." A húsz számítógép különböző szolgáltatóknál található, emiatt valószínűsíthető, hogy nem lesz elég idő mindet lekapcsolni a határidő elõtt. Ha csak egyetlen rendszer is on-line marad, még az is elég lesz a féreg számára a támadás indításához.
A vírus által használt kifinomult technikák nyilvánvalóvá teszik, hogy nem egy tipikus tinédzser script-kiddie készítette azt. Tény, hogy az előző Sobig-verzió spammelési képességével pénzt kerestek az írók. "Számomra nagyon úgy tûnik, hogy szervezett bûnözéssel van dolgunk" -- kommentálta a történteket Mikko Hypponen.