:

Szerző: Bodnár Ádám

2003. augusztus 26. 14:59

Az F-Secure segítette a Sobig.F támadásához szükséges szerverek leállítását

[Morpho] Sikerült megakadályozni a Sobig.F féreg interneten várható aktiválódását. Az aktiválódást augusztus 22-ére, magyar idő szerint este 21:00 órára programozták. A féreg aktiválódását egy 24 órás küzdelem előzte meg a világ számos szervezeténél.

[Morpho] Sikerült megakadályozni a Sobig.F féreg interneten várható aktiválódását. Az aktiválódást augusztus 22-ére, magyar idő szerint este 21:00 órára programozták. A féreg aktiválódását egy 24 órás küzdelem előzte meg a világ számos szervezeténél.

A folyamat a féreg részletes elemzésével kezdődött, amelyet az F-Secure kutatócsapata végzett, akik megtalálták, és sikeresen dekódolták 20 érintett szerver IP-címét a féreg titkosított kódjából. A 20 IP-címmel felszerelkezve az F-Secure, a különböző internet-szolgáltatók, a világ különböző részein működő CERT szervezetek, az FBI és a Microsoft képes volt az aktiválódáshoz szükséges főbb szerverek megtalálására és leválasztására vagy leállítására.

A határidő előtt hat órával 11 szervert sikerült leválasztani az Internetről. Az aktiválódás előtti pillanatig 18 szerver leválasztása történt meg. A maradék két szerver egyike elérhetetlen volt, valószínűleg kikapcsolták. Egy szerver még működött a támadás elindításakor, de azonnal elérhetetlenné vált, amint a fertőzött gépek tízezrei a világ minden tájáról elkezdtek adatokat küldeni rá.

Az F-Secure három különböző érzékelővel, három különböző országból próbált meg csatlakozni mind a 20 géphez, hogy meggyőződjön azok kikapcsolt állapotáról. Azóta egyhez sem sikerült csatlakozni. Ha az F-Secure nem tudott csatlakozni, akkor a fertőzött gépek sem, tehát az aktiválódás sem sikerülhet.

A Sobig.F, amely jelenleg a legelterjedtebb féreg a világon, 20 szerver titkosított listáját tartalmazza. Ezek a szerverek az Egyesült Államokban, Kanadában és Dél-Koreában találhatók. A féreg megpróbált csatlakozni ezekhez a szerverekhez annak érdekében, hogy letöltse egy másik szerver címét, ahonnan egy ismeretlen alkalmazást töltött volna le. Ez a letöltött alkalmazás azonnal elindult volna az összes fertőzött gépen.

a címlapról