Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 19/8/2003
En ny virus, W32.SOBIG.F, anmeldes i rekordagtig tempo til DK-CERT og andre sikkerhedsorganisationer.Virusen er destruktiv da den kan hjemtage og køre uautoriserede programmer på den angrebne maskine. Den spreder sig ved at aflæse adresser i de sårbare mailsystemers adresselister og efterfølgende sende sig selv til disse adresser.
Hvem er sårbare ?
Windows 9x, ME, NT, 2000, XP
Hvad gør virusen ?
Den udbreder sig vha. masseudsendelse af mails med kopier af sig selv. Virusen udnytter mailadresserne fra de lokale mailadresselister på det angrebne system.
Indbygget i virusprogrammet er en smtp-server som sørger for afsendelsen af mailene. Virusen søger efter nye modtageradresser i filer med endelserne DBX, HLP, MHT, WAB og HTML.
Afsenderadressen på de udsendte virusmails er ofte forfalsket, kopieret fra adresselisterne.
Symantec (se medfølgende link) har også rapporteret, at W32.SOBIG.F også indeholder kode, der kan kontakte servere på internettet (på TCP-port 8998) for at få informationer til at downloade ondsindede programmer.
Da kontakten til disse servere er betinget af tidsangivelse, genererer virusen trafik også til tidsservere (UDP-port 123), for at kontrollere udførelsen af denne del af programmet.
Virusen lytter på en række porte (UDP-portene 995 til 999) for at opdatere listen af servere som kan kontaktes.
Hvordan identificeres virusen ?
Virusen anbringer et program i Windows-biblioteket: %Windows%\winppr32.exe, samt en tekstfil, Winsst32.dat. Det kan feks. se således ud:
C:\WINNT\WINPPR32.EXE og
C:\WINNT\WINSST.DAT
Den modificerer også registreringsdatabasen for at starte virusen op igen efter system genstart, det ser således ud:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
Her følger eksempler på emne-overskrifter i virusens mails:
"Re: Thank you!"
"Re: Details"
"Re: Re: My details"
"Re: Approved"
"Re: Your application"
"Re: Wicked screensaver"
"Re: That movie"
Eksempler på tekst i selve mailen:
"See the attached file for details"
"Please see the attached file for details"
Eksempler på vedlagt fils navn:
"your_document.pif "
"document_all.pif "
"thank_you.pif "
"your_details.pif "
"details.pif "
"application.pif "
"Re: Thank you!"
Hvordan fjernes virusen ?
Ved at downloade nyeste virus signaturer hos din anti-virusleverandør, og følge de relevante anvisningerne fra leverandøren.
Herudover anbefales det, at blokere for de nævnte porte virusen benytter.
Hvis portadresserne benyttes til legale formål, anbefales det at filtrere så målrettet som muligt i en evt. router eller firewall. Endelig kan en øget logning iværksættes, for at afsløre mistænkelig trafik.