Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 22/5/2003
Ormen Palyh, der er den mest udbredte for tiden, kan vise sig at være mere skadelig end først antaget. Hvis den opfører sig ligesom forgængeren Sobig, installerer den en bagdør og en skjult proxyserver på den inficerede pc.Flere antivirusfirmaer kalder nu Palyh for Sobig.B ud fra en vurdering af, at der er tale om en variant af Sobig.A-ormen, der har været kendt siden januar. Sobig.A angiver at komme fra adressen big@boss.com, mens Palyh (Sobig.B) lader som om, den er afsendt fra support@microsoft.com.
Først blev Sobig.A opfattet som forholdsvis uskadelig. Men så offentliggjorde Joe Stewart fra Lurhq Corporation en analyse, der afslørede, at den gør mere skade, end man først troede. Når ormen aktiveres, kontakter den et web-sted og henter en fil, hvori der står en web-adresse. Men normalt er det en ikke-eksisterende adresse.
Joe Stewart har imidlertid opdaget, at filen indimellem indeholder en reel adresse. Ormen besøger denne adresse og henter en trojansk hest, som den installerer. Den trojanske hest giver mulighed for at opfange brugerens tastetryk og fjernstyre pc'en.
Derudover installerer Sobig.A også en version af proxyserverprogrammet Wingate. Det kan bruges til at sløre en hackers spor, idet han kan sende sine kommandoer gennem proxyserveren. Desuden kan spam-afsendere anvende det til at udsende spam, uden at man kan opdage, hvor det kommer fra.
Joe Stewart udtaler til nyhedstjenesten The Register, at det er sandsynligt, at Sobig.B har en lignende funktion. Man ved allerede, at den prøver at opdatere sig selv ved at kalde op til nogle web-steder.