Sobig F-worm wurmt zich in het rond

De mailboxen van een aantal mensen zullen de komende dagen weer overspoeld worden met virusmails. De schuldigde kan in dat geval de inmiddels zesde variant van de Sobig F-worm zijn, die rondwurmt op zoek naar potentiële slachtoffers. Zodra je besmet bent met de worm zal het onder andere .html en .txt-bestanden op je computer scannen voor nieuwe e-mailadressen. De inhoud van de verzonden mails is over het algemeen: 'See the attached file for details'. Op 10 september wordt de worm gedeactiveerd; de laatste dag dat de worm zich verspreidt zal dus op 9 september zijn.

Virus - LCD met doodskop Sobig.F is in staat om bestanden naar geïnfecteerde computers te downloaden en deze vervolgens uit te voeren. De intenties van de auteur van de worm zijn het stelen van vertrouwelijke systeeminformatie en spam-relay servers opzetten. Door deze functionaliteit kan de worm zichzelf ook updaten. Ook UDP-poorten 995 tot 999 worden door de worm opengezet. Op Security Response is meer informatie te vinden over deze worm.

IT-banen

Reacties (95)

Jazzy Moderator SWS 20 augustus 2003 10:22

...bounces (omdat ze ook met mijn e-mail addressen worden verstuurd als afzender) en virusbounces (omdat sommige virusprogramma's nog steeds niet snappen wat "forging" is)...

Inderdaad, maar dat is met name een probleem van degene die het antiviruspakket geconfigureerd heeft. Op onze mailserver heb ik de notifications naar sender en receipient een tijdje geleden al uitgezet, de notification gaat toch nooit naar de werkelijke besmette verzender. Vervolgens krijg je weer een hele lading NDR's terug en al met al genereert dat een enorme hoeveelheid dataverkeer.

Dat zouden meer systeembeheerders moeten doen...

Tommel 20 augustus 2003 10:07

Uitgebreide Nederlandse uitleg inclusief "removal" instructies:

http://www.virusalert.nl/?show=virus&id=547

Verwijderd 20 augustus 2003 10:08

Vraag me af of securitiebedrijven niet zelf een vinger in de pap hebben de laatste tijd, misschien dat de verkoop van antivirus programma's weer een beetje op peil moet worden gebracht

Verwijderd @Verwijderd • 20 augustus 2003 11:39

als je mensen tegen dit soort dingen wil beschermen moet je ze toegang tot internet weigeren. of niet toestaan om attachments uit te voeren. anders kan het altijd

Verwijderd 20 augustus 2003 10:09

Gistermiddag ineens (binnen 4 uur) zo'n 200 van die virussen, bounces (omdat ze ook met mijn e-mail addressen worden verstuurd als afzender) en virusbounces (omdat sommige virusprogramma's nog steeds niet snappen wat "forging" is), een paar regeltjes in mijn mailprog gemaakt om op die subjects te selecteren en vanmorgen zo'n 550 van die dingen in de virus-folder. Zo irritant!

Één sukkel die het virus opent op breedband en je hebt meteen honderden slachtoffers die er niks tegen kunnen doen.

Wat is de lol van een virus maken dat miljoenen mensen zó irriteerd; wat voor geestesziekte heb je dan als programmeur zijnde. Ben je dan gewoon niet in staat iets nuttigs te programmeren (want wees eerlijk; een virus stelt tegenwoordig weinig meer voor, technisch gezien) of vind je het gewoon leuk mensen te irriteren. Prop ze in het gekkenhuis tot ze doorhebben dat hun gedrag niet bepaald normaal is.

Verwijderd @Verwijderd • 20 augustus 2003 10:48

Vergelijk het maken van een virus met het spuiten van grafiti. Het is het drukken van een stempel op de maatschappij.

De maatschappij tegenwoordig is zo omvangrijk dat een enkel persoon makkelijk in het niets verdwijnt, onopgemerkt en vergeten. Daarom zouden sommige mensen methoden als grafiti gebruiken om toch iets ergens te hebben waaraan je kan zien dat ze er nog zijn.
Althans, deze verklaring werd in een artikel gegeven in een tijdschrift wat ik een tijd geleden gelezen heb. Misschien dat dit een beetje door te trekken is naar het schrijven van virussen...

Verwijderd @Verwijderd • 20 augustus 2003 11:13

Bij échte grafitti (dus niet een simpel "I was here" ding ofzo) is er welliswaar sprake van vandalisme, het is in ieder geval bedoeld om mooi te zijn; het is een soort kunstvorm.

Virussen zijn enkel gemaakt om te vernielen, heel vroeger waren er nog virussen die je als "mooi" zou kunnen bestempelen vanuit een technisch oogpunt maar op welke manier zijn al die varianten van "open deze attachment" intelligent of bijzonder? Het is niets meer dan infantiele vernielzucht.

Iemand die het irriteren en op kosten jagen van mensen als een kunstvorm beschouwd moet hoognodig naar de psycholoog. Het wordt hoog tijd dat zo'n pubertje eens voor de rechtbank wordt gesleurd en de rest van zijn leven mag werken in een fabriek om de schade te betalen die hij heeft veroorzaakt.

Zelfde geld ook voor de vandalistische grafittiartiest natuurlijk, alleen zit zijn straf er na een paar dagen wel op en zal de virusprutser tot ver na zijn pensioen in armoede leven.

Verwijderd @Verwijderd • 20 augustus 2003 12:00

Lees jij dit http://www.lurhq.com/sobig-e.html maar even.
Dan weet je, dat afgezien van het attachment-deel van het virus, dit best een geavanceerd virus is.

Jouw verhaal gaat m.i. niet op

Verwijderd @Verwijderd • 20 augustus 2003 13:10

Klinkt anders als het zoveelste virus dat precies hetzelfde doet als al zijn voorgangers, grote kans dat 90% van de code gewoon gekopieerd is. Enige verschil is dat deze zelfs met criminele doeleinden gemaakt is.
Laat al die zogenaamde intelligente virusbouwers dan eens een virus bouwen wat niet op dat idiote "open s.v.p. attachement" mechanisme gebasseerd is. De enige reden waarom dat nog werkt is omdat er nog grotere debielen zijn die dat dan nog doen ook.

Verwijderd @Verwijderd • 20 augustus 2003 20:44

nou, eh, liever niet aub.

Verwijderd @Verwijderd • 20 augustus 2003 11:39

rare vergelijking. een virusmaker vindt het leuk als andermans computer de soep in draait. zieke geesten zijn dat soort mensen. complete losers. gasten die echt helemaal niets kunnen en willen.

Verwijderd @Verwijderd • 20 augustus 2003 12:06

Maar zoveel??
Sedert gisteren +/- 15 uur is het hier vollen bak...
'k Heb al mijn e-mailadressen van mijn domein tijdelijk off line moeten plaatsen.
Wat aanpassingen gedaan en alles komt nu op een "grote harde schijf" terecht bij mijn ISP die ze dan"druppelsgewijs" naar een "geheim" e-mailadres doorgeeft...

ichnaton @Verwijderd • 20 augustus 2003 16:04

[qoute]Wat is de lol van een virus maken dat miljoenen mensen zó irriteerd; wat voor geestesziekte heb je dan als programmeur zijnde. Ben je dan gewoon niet in staat iets nuttigs te programmeren (want wees eerlijk; een virus stelt tegenwoordig weinig meer voor, technisch gezien) of vind je het gewoon leuk mensen te irriteren. Prop ze in het gekkenhuis tot ze doorhebben dat hun gedrag niet bepaald normaal is.[/quote]

Eens iets gelezen van zo'n figuur: bleek dat z'n moeder net dood was en die en die was al lang dood enz enz ofwel zielepieten

IRCfreAk 20 augustus 2003 10:00

zijn er al patches voor uit of moet ik gewoon maar eens een virusscanner installeren?
/edit ik lees op symantec dat er een fix voor is
securityresponse.symantec.com/avcenter/FixSbigF.exe
/edit2 joepie niks gevonden www.crappy.nl/images/worm.jpg

Wildfire

@IRCfreAk • 20 augustus 2003 10:03

Ach, het is weer zo'n virus dat erop vertrouwt dat je de bijlage opent... dus gewoon niet openen.

En een up-to-date virusscanner is wel zo'n goed idee ja. Waarom draai je er geen? Zelfs een top-tweaker behoort er eentje te draaien, al was het alleen maar om "better safe than sorry"

boner @Wildfire • 20 augustus 2003 10:23

de reden waarom veel menschen geen virus scanner draaien is eenvoudig.

1 het kost erg veel bandbreedte om elke dag de nieuwste updates to downen.

2 de computer is niet schnell genoeg. Wel eens gekeken hoe schnell je puter is met en zonder scanner....

Verwijderd @boner • 20 augustus 2003 11:45

Virusscanners nemen zoals elke programma resources, ik heb van AVG 6.0 weinig last van performanceverlies (zie systeemspecs, ouwe Athlon-bak). Ik laat AVG automagisch om 4:50 updates downloaden en zo'n update is meestal paar MegaBytes. Om 4:50 zit meestal niemand op de lan zodat er geen hogeping/lag is, paar MegaBytes is niet echt veel. De laatste autoupdate is van 19/08/2003. De automagische harde schijven scan beginnen om 5:00 zodat niemand last van moet hebben.

Daarom vind ik pesroonlijk het best ok dat microsoft een virusscanner + auto-update gaat meeleveren. Zolang het voor de "gevorderde" gebruiker maar uit te schakelen is.

In DOS zat MSAV (MicroSoft Anti-Virus), het grote nadeel is dat er geen updates voor bestaan.

Verwijderd @boner • 20 augustus 2003 11:55

Die AVG die algabra aanhaalt is idd zeer snel. En wat die bandbreedte betreft. Denk je echt dat er zoveel mensen zijn die iedere maand hun limiet halen? ik denk het niet. De mensen zijn er gewoon te lax voor.
De redenering het zit niet in windows dus ik heb dat niet dadelijk nodig gaat in veel gevallen nog steeds op hoor.
Daarom vind ik pesroonlijk het best ok dat microsoft een virusscanner + auto-update gaat meeleveren. Zolang het voor de "gevorderde" gebruiker maar uit te schakelen is.

Abom @boner • 20 augustus 2003 11:15

Hij heeft wel gelijk, ookal gebruiktie een Duits woord :}

Een virusscanner heeft een behoorlijke impact op de perfomance van je PC.

Ik ben het niet eens dat je een virusscanner moet draaien, je moet gewoon up-to-date blijven qua windows patches (ookal haalt SP4 windows 2000 overhoop) en gewoon geen vreemde mailtjes openen.

Wildfire

@boner • 20 augustus 2003 11:58

Mijn virusscanner vertraagt de boel nauwelijks. Ik merk iig geen performance-verschil.

Veel bandbreedte? Ik gebruik Norman Anti-Virus, die heeft incremental updates. Da's dus elke keer hooguit enkele kilobytes. Kan ik nou niet bepaald bandbreedte-slurpend noemen.

DavidAxe @boner • 20 augustus 2003 12:27

Je kan je virusscanner natuurlijk ook gewoon instellen om alleen de inkomende mail en downloads te scannen (system protect e.d. dus niet aanzetten, heb je eigenlijk ook nergens voor nodig). Op die manier heb je bijna geen performance verlies en krijg je geen viri binnen.

roelio @boner • 20 augustus 2003 16:52

Of je draait gewoon geen virusscanner resident, is op zich nergens voor nodig.
Bijlagen die je niet vertrouwt scan je ff met de hand, dan gelijk ff wat updates downloaden.
Email virussen herken je zo.
Zo af en toe scan je je hele systeem ff.

Pietervs

Bedrijfsnieuws

@boner • 21 augustus 2003 00:52

Ik ben het niet eens dat je een virusscanner moet draaien, je moet gewoon up-to-date blijven qua windows patches
Dus een slot op je deur vind je ook onzin?
Kom op zeg, dit is precies de houding waardoor virussen zich kunnen *blijven* verspreiden: pure laksheid. Want ja, je moet natuurlijk je PC up-to-date houden, maar niet iedereen wil Linux installeren...

Nee geintje natuurlijk. Maar er zijn nou eenmaal bosjes patches en updates van Microsoft geweest, die niet goed werken, of waar later weer een fix voor uitgebracht moest worden. Dus wacht je even af voor je de laatste updates installeert, of je verwijdert de laatste updates, omdat je merkt dat je PC zichzelf op allerlei rare momenten opknoopt of programma's niet meer werken.

Een virusscanner is een MUST. Punt uit.

Juicy @boner • 20 augustus 2003 10:26

Eens kijken hoe schnell jij weer in het heden komt en niet in het verleden blijft hangen ...

Kurgan @boner • 21 augustus 2003 20:34

je moet gewoon up-to-date blijven qua windows patches

Sorry hoor, maar als je daar op vertrouwt dan ben je zelf ook niet helemaal up-to-date. Een hele hoop van die patches zitten zelf vol met security holes. Trouwens, een beetje tweaker heeft zo'n goeie 'puter dat dat beetje resources niet eens te merken is...

Verwijderd 20 augustus 2003 10:08

Kwam hem vanmorgen bij het doorlopen van mailqueues op m'n werk inderdaad ook massaal tegen.. van de 600 mails ruim 350 deze Sobig...

Niet schadelijk, maar wel werkvertragend.
Virusfiltertje haalt de attachments eraf, maar je krijgt alsnog wel al die stomme messages in je systeem die je dan moet verwijderen. Bagger...

Skyclad @Verwijderd • 20 augustus 2003 10:23

Als er een virus uit zo'n mailtje wordt gehaald wordt ook de header meestal aangepast (veel virusscanners kunnen dit zowieso wel), en je kan dan gewoon op je mailbox een filter plaatsen die alle mailtjes met die specifieke tekst verplaatst naar een 'virus' mail folder die je later nog kan bekijken. Op die manier behandel ik ook de standaard mail errors, zodat ik alle daarvoor bestemde filters niet ook over mijn gewone mail hoef te laten gaan.

berend_engelbrecht @Verwijderd • 20 augustus 2003 15:57

Ik baal hier nog meer van... ik heb dat virus nog niet ontvangen, maar wel zeker 100 'undeliverable' mails gekregen van mensen die dat virus hadden ontvangen met mijn adres als afzender

En m'n spamfilter laat die 'undeliverable' notices allemaal door

Room42 @berend_engelbrecht • 20 augustus 2003 22:45

LOL, ik heb er echt niet één gehad! Werk en privé!

Ik ben systeembeheerder (overigens niet de postmaster) en hoorde in de rest van het bedrijf wel enkele mensen klagen.

Asteroid9 @Verwijderd • 20 augustus 2003 11:47

350? Ik had 1472 notification messages!

Slecht begin van de dag...

Maar goed, wel alles tegengehouden!

0siris 20 augustus 2003 11:46

en ook dit keer kan ik de voeten weer op het bureau leggen op mijn werk: Bij alle mailtjes met attachments met exensie .pif, .bat, .exe, .com, .html, .htm, .scr worden de attachments in een aparte map neergezet, en het mailtje zelf doorgestuurd naar de originele ontvanger. Als er iets bijzit dat echt gemist wordt, hoor ik dat, kan ik er nog bij.
Echt ideaal. Ik had laatst alleen even zorgen bij een virus dat in zipbestanden werd meegestuurd, maar de virusscanner had daarvoor al updates gedownload.

Barbapapa720 @0siris • 21 augustus 2003 09:53

Zo hoort het ook. Je moet zorgen dat de debielen die alle attachements openen die ze krijgen de kans daarvoor niet meer krijgen. Gewoon alles afvangen aan de deur.

Ik draai zelf Groupwise 6 icm GWAVA. Dit pakket zorgt ervoor dat alle post op virussen wordt gescand. En gooit alle attachements met door mij gedefinieerde extensie in een aparte map.

Een schone werkplek is een veilige werkplek.

Verwijderd @0siris • 21 augustus 2003 10:07

Dat je messages van bedrijven krijgt betekend niet dat ze niet bij zijn met hun beveiling.
Het virus pakt adressen uit je adresboek en zet dat bij de afzender. Betekend dus niet dat de afzender het virus heeft.

drexciya @0siris • 21 augustus 2003 13:19

Wat een stom gezeur over anti-virus software, het probleem is hier duidelijk de eindgebruiker. Sowieso helpt die anti-virus shit alleen achteraf.

Wie nu nog (na zo'n 20+ attachments-virussen en honderden varianten op het thema) zo stom is om zomaar te dubbelklikken op een attachment verdient het om besmet te worden. Het is alleen irritant dat je met de stommiteit van andere gebruikers wordt geconfronteerd, ik kreeg zo'n 20-25 van die mailtjes binnen.

Daarnaast zou bij een bedrijfsomgeving een systeembeheerder botweg alle discutabele attachments moeten blokkeren (sowieso alles wat executable is en moeilijk als zodanig herkenbaar is, bijvoorbeeld .pif, .vbs en .scr).

In een bedrijf heb je als gebruiker ook enige verantwoordelijkheid, ik zie niet in waarom een beheerder op de onnozelheid van een gebruiker moet worden afgerekend. Anders moet je maar harde preventieve maatregelen instellen.

bstard 20 augustus 2003 10:20

Klopt het dat dit virusje de Afzender van de emails ´willekeurig´ kiest, dus niet de afzender die normalitair door outlook eringezet wordt? Ik krijg sinds gistern al ladingen van deze prut, en vooral de email van ISPs als ´uw email bevat een virus´ zijn vreemd. terugsturen. Ik gebruik slechts een web gebaseerde email client, geen outlook, en meestal linux.

[]
zekers grappig.. zucht, pokke n00bs met hun verdomde outlook en crappy XP

[]

Verwijderd @bstard • 20 augustus 2003 10:29

De worm werkt volgens mij zo:
Wanneer je infected bent kijkt 'ie in je adresboek, en begint je mailservers te exploiten met zowel 'to' als 'from' mailtjes in je adresboek.
Als je bijv: mail@mail.com en post@post.com in je adresboek hebt, stuurt 'ie een mailtje VAN mail@mail.com NAAR post@post.com als omgekeerd.
Stel je nou eens voor dat jij mail@mail.com hebt, en post@post.com een virusscanner draait.
Dan krijgt mail@mail.com een berichtje dat het mailtje is tegengehouden.
Dus zogouw iemand jouw adres in z'n adresboek heeft word je gespammed, en word je email adres als fake 'from' header gebruikt.

Kix@$$ @Verwijderd • 20 augustus 2003 11:03

Opzich goed alleen 2 dingen:

1. Hij gaat niet via je normale mailserver. Hij verstuurd de e-mails zelf (heeft eigen "mailserver") en wordt daardoor ook niet geblokkeerd door SMTP servers met virus scanners.
2. Hij scant niet alleen je adresboek maar ook random bestanden op je hardeschrijf. Deze adressen gooit hij willikeurig in de FROM en TO velden van de e-mail die hij daarna verstuurd.

Ook is elke keer de grootte van de bijlage anders. Hij zit gemiddeld rond de 74 kb.

mjtdevries @Kix@$$ • 20 augustus 2003 15:44

En daarom is het handig om naast een virusscanner op je mailserver ook een firewall te hebben die SMTP verkeer onderschept en checked op virussen.

Scalle-- @bstard • 20 augustus 2003 14:33

Pssst... ik heb verdomde outlook en crappy XP, 3 mailtjes op m'n hotmail gekregen dat ze m'n besmette virus tegengehouden hadden, maar virus is hiero niet te vinden

Heb wel een idee welke randdebiel het weer is die besmet is

, kan die eikel er maar niet toe overhalen om een scanner te installen

Iemand moet me nou echt eens uitleggen wat er zo leuk is aan virusjes maken

Kix@$$ 20 augustus 2003 11:00

Een virus die voor een mailbom zorgt is nooit grappig: afbeelding

Zo trof ik dus vanochtend m'n e-mail box op m'n werk aan

akimosan

@Kix@$$ • 20 augustus 2003 15:51

Als je Sophos Antivirus gebruikt kun je ook overwegen om naast je Exchange 2K bak een front-end server te bouwen met Mailmonitor for SMTP erop. Scheelt je een hoop troep in je Exchange database. Mailmonitor for Exchange dan blijven gebruiken voor eventuele cleanup en bescherming voor virusjes van binnenuit.

dasiro @Kix@$$ • 20 augustus 2003 20:40

heb je de attachment van je broer/vader/zoon al eens geopend

Verwijderd 20 augustus 2003 10:01

Kreeg er vanochten al 88 binnen.

Ik moet maar eens maatregelen gaan nemen.

AntiChris @Verwijderd • 20 augustus 2003 10:04

Als iedereen dat nou eens zou doen... *zucht*

Wat mij betreft mag Microsoft de support voor OE best stopzetten en een eenvoudige mailclient aanraden als vervanger, dit begint vervelend te worden.

Luxx @AntiChris • 20 augustus 2003 10:39

Als iedereen massaal overstapt naar een andere mailclient lost het dus echt helemaal niets op.. Juist iedereen moet een andere mailclient gaan gebruiken.

Bovendien is deze worm niet outlook-only, dus alle mensen die windows gebruiken zijn kwetsbaar voor dit virus (Waarom wordt het worm genoemd, deze moet je toch zelf installeren (openen) en dus is het toch geen worm?

Verwijderd @AntiChris • 20 augustus 2003 12:10

Ik ben het met Luxx eens. Op het werk wordt hier inmiddels ook SOBIG.F gevonden (en verwijdert) op Lotus Notes Domino servers. Het is geen OE only virus/worm.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: