xxx
Husk, at der kan være forskel på store og små bogstaver i kodeordet

Har du glemt dit kodeord?


NAVIGATION

NAVIGATION

PROFIL

  • login
  • Har du ikke en profil så kan du oprette en her

SoMe


SØG I NYHEDSARKIVET
VIS SENESTE NYT I KATEGORI
Sobig - en ubehagelig genial virus
Sobig - en ubehagelig genial virus
Sobig virus er, som computerskabning, meget interessant og viser nye veje for spredning og overlevelse. Måske er nogle af de nye elementer lidt klodset implementeret, men man kan frygte at kommende generationer vil ligne virusspredningen fra Terminator 3 mere end vi vil synes om. Den har fx egen smtp server indbygget og specialiserer sig i at snyde antivirusprogrammerne. [#] Se også Macnyts første varsel ... vi var tidligt ude. Sobig varianter har været kendt siden januar, men i juni mente mange at denne virus var ved at være en sage blot. Men dagens angrab af variant F viser at der ikke er noget der tyder på at vi har set den sidste til den, og allerede nu må man stille sig spørgsmålet om hvorvidt dens programmerede tilsynekomst i sig selv er angrebet eller om der i den eller i ly bag dens larm gemmer sig vigtigere og værre angreb. Sobig F pakkes bl.a. i en algoritme der svarer til TELlock, et PC program, og gør den svær at se, og det har bl.a. gjort at antivirusfirmaerne har sovet i timen og ikke har fået frigivet profiler på den. Indbygget smtp server Når angreb af denne slags sættes ind vil internetudbyderne og de store firmaer typisk starte med at lukke eller beskytte deres smtp servere. smtp serveren er den der sender din e-mail videre fra din klient til modtagerens email server. Et signal om hvilke langt mere avancerede angreb vi har i vente er det at Sobig F har sin egen smpt server indbygget! Ved hjælp af den indbyggede smtp server kan Sobig F videresende sig selv udenom eventuelle officielle smtp serveres virus og profilfiltre, og vil også blive videresendt trods at de officielle servere evt. lukkes. Den rummer altså sin egen infrastruktur og sætter sig udover det hidtil kendte mønster. Norman beskriver hvorledes Sobig F er opbygget. Den er af typen "Worm", altså et aktivt program der selv sørger for at bevæge sig videre. Den spredes via e-mail og dens subject, tekst og vedlagte filer er varierende. Først opdaget i dag d. 19. august. Sobig F's størrelse varierer, ligger omkring 72 KB. Sobig kopierer sig selv til Windows mappen (på en MS Windows computer) og vil her hedde winppr32.exe. Den laver også registry keys der hedder sinc og ligger således: HKLM\Software\Microsoft\Windows\CurrentVersion\Run "TrayX"="[WINDIR]\winppr32.exe /sinc". og HKCU\Software\Microsoft\Windows\CurrentVersion\Run "TrayX"="[WINDIR]\winppr32.exe /sinc" Det fører til at den kører når computeren starter. På positivsiden er at den umiddelbart antages ikke at slette filer eller begå lignende alvorlige indgreb. Og lad os lige pointere: Den rammer ikke Mac brugere. Men lad være med at hente mail ind i fx Virtual PC. [#] Symantecs gamle beskrivelse fra juni