Sobig for denne gang

  • Endret

Tirsdag 9. september var siste dagen ormen Sobig spredde seg på nettet. Ormen er også programmert til å deaktivere seg den 10. september. Dette var 6 variant av ormen og ekspertene venter at det vil komme en ny variant i løpet av kort tid.

Mange infiserte maskiner
I løpet av de drøye 3 ukene ormen har vært aktiv har den infisert et enormt antall maskiner, noe som bekreftes av tall fra antivirusselskapene rundt om i verden. Hos flere av selskapene har Sobig.F stått for omtrent 80 - 90 % av alle tilfellene som har kommet via e-post. (Ormen Blaster ble har også infisert mange maskiner, men den hadde ingen spredning via e-post.)

Dersom vi ser på tallene fra Messagelabs, har de oppdaget over 16,5 millioner e-poster som har inneholdt Sobig.F. Til sammenlikning har ormen Klez-H blitt stanset 7,5 millioner ganger siden den ble oppdaget 15 April 2002. Bildet under viser antall e-poster som er stoppet med Sobig.F hos Messagelabs.

Scandico som forteller at de blant annet stoppet over 200 000 Sobig.F e-poster som gikk til en av deres kunder i Norge. Totalt stod denne ormen for godt over 90 % av alle stoppede e-poster i perioden. Det er rapportert om selskaper som har mottatt over 4 ganger så mye e-poster som normalt i denne perioden.

Ny versjon 11. september?
Sobig.F var 6 variant av Sobig og ekspertene spekulerer i om når det eventuelt kommer en 7 variant. Mange frykter at den kanskje skal komme på 11. september som er en dag det ventes flere nye virus. Norton har allerede oppdaget 2 varianter av et 11. september virus:

W32.Neroma.B@mm
6. september ble det første tilfellet av ormen W32.Neroma.B@mm oppdaget. Ormen er veldig liten og gjør minimalt med skade på maskinen, Norman har plassert Neroma i risikogruppe 1 (Svært lav)

Slik ser det ut:
Avsender: Varierer med forskjellige avsendere
Tittel: Time to 911!
Melding: Hi, Nice butt!
Vedlegget: 119.gif
Størrelse: 5,120B
Infiserer: Windows 95/98/NT/ME/2000/XP/Server 2003
Oppdaget: 06092003
Les mer her.

W32.Neroma@mm
Den andre 11. september ormen som er oppdaget er W32.Neroma@mm den har havnet i risikogruppe 2 siden den sprer seg litt mer en Neroma.B.

Slik ser den ut:
Avsender: Varierer
Tittel: It's Near 911!
Melding: ice butt baby!
Vedlegg: 911.jpg
Størrelse: 5,632 B Infiserer: Windows 95/98/NT/ME/2000/XP
Oppdaget:03092003
Les mer her.

Opprinnelsen
Allerede fra dag en hadde Sobig.F en enorm spredning. Grunnen til det var at ormen hadde en noe utradisjonell start. Ormen ble lagt ut kamuflert som et bilde på et forum til en populær pornoside i USA. Det tok 7 minutter fra posten var lagt ut til det første tilfellet ble oppdaget. Når en bruker klikket på for nedlastning av bildet i posten ble maskinen til brukeren infisert. Hvor mange som har blitt infisert på denne måten er fortsatt uvisst, men det er mange.

Etterforskningen
Det tok ikke lange tiden før FBI var koblet inn i etterforskningen etter programmereren. De fant raskt ut hvem brukeren som hadde lagt ut posten i forumet. FBI fulgte spor tilbake til en nettleverandør som fant navnet til eieren av nettkontoen. Problemet var at denne kontoen var opprettet med stjålet identitet og kredittkort.

Dessverre er statistikken til FBI svært dårlig på denne type kriminalitet. Det er faktiskisk veldig få virus programmerere som blir tatt. Les mer om jakten her.

FBI klarte å ta programmereren av Blaster.C viruset men det var etter veldig gode tips, og de brukte allikevel nesten 10 dager på å arrestere vedkommende. FBI har måtte tåle mye kritikk i amerikansk media for sin etterforskning.

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen