Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties
Bron: NewScientist, submitter: T.T.

Sinds afgelopen maandag heeft de Sobig.F-worm een enorme hoeveelheid computers besmet. Het virus verspreidde zich razendsnel via het Outlook- en Outlook Express-adresboek en zoekt daarnaast in bestanden op de pc naar e-mailadressen. Het virus heeft qua aantal besmettingen alle records gebroken. Een uitgebreide beschrijving van de worm vinden we bij NewScientist Sobig.F is al de zesde variant, een voorganger genaamd Sobig.E, probeerde passwords aan gebruikers te ontfutselen. Computers die besmet zijn met Sobig.F zouden afgelopen vrijdag om 19.00 uur contact hebben moeten zoeken met één van een twintigtal systemen voor het uitvoeren van een onbekende opdracht. Deze opdracht kan variëren van erg onschuldige tot desastreuse zaken als het wissen van een harddisk. De de-activatie van de worm zal op 10 september plaatsvinden, de verspreiding stopt dus op de dag ervoor.

Anti-virus bedrijven hebben in samenwerking met de FBI en een aantal internetproviders gewerkt aan de blokkade van bovengenoemde lijst van twintig. Vlak voor de cruciale tijd waren negentien van de twintig computers afgeschermd, de twintigste is gebruikt als lokaas om te proberen de dader te vinden. Het lijkt dat hiermee de aanval is afgeslagen maar helaas is dit niet zo. De besmette systemen checken twee keer per week of de lijst van twintig 'contactadressen' misschien is uitgebreid. Een nieuw virus zou dit kunnen verzorgen. Besmette computers krijgen via een geheime code een link, deze link is echter op dit moment nog een dummy:

Illustratie bij virus/infectie/scans/lekkenBut the machines infected with SoBig.F will try to connect to port 8998 on one of the hijacked machines. They will transmit a secret 8-byte code, which will cause the hijacked machines to return a web link to a site from which the malicious code can be downloaded.

Attempts to discover this target link have so far been foiled, as the worm's writer used a bogus URL. Experts believe that this link would be changed to the real one a few seconds before the deadline, too late for companies to block.

Update:
Volgens de berichtgeving over Sobig.F op de site van F-Secure hebben de besmette systemen zondagavond opnieuw geprobeerd om contact te zoeken met één van de twintig master servers. Deze zijn inmiddels alle twintig onbereikbaar gemaakt en er is niets gebeurd.

Moderatie-faq Wijzig weergave

Reacties (66)

ben ik de enige die 10 september een ietwat vreemde keus vind voor een datum om te (de)activeren?
Niet als je hoort wat sommige samenzweringstheorieën beweren over SoBig...

Ik zit op het werk nu, kan de link ff niet vinden, maar het zou om een gecoördineerde hackers / virusscripters aktie gaan, gefinancierd door 'al quaeda' ... Met de bedoeling om "09/11" opnieuw te beleven op digitale wijze...
|:(
Het volgende wat je hoort is dat Bush 'm zelf heeft geschreven om een nieuwe oorlog te verantwoorden... :+

Virus in gang op 10/09 en op 11/09 is het feest compleet...
Dan moet het wel door een amerikaan geschreven zijn, want die hebben een wel erg groot respect voor 11 september.

Niet dat ik daar geen respect voor heb, maar als je al illegaal bezig bent en virussen schrijft dan is het respect voor de medemens volgens mij toch al niet al te hoog.
Zou dit dit terroristische aanval zijn waar de Vs het telkens over heeft :+

Het is alleen wel 1 dag te vroeg ... :? Wat een stomme fout ;)
In ieder geval is de FBI in samenwerking met diverse virus-experts achter de oorsprong van de huidige SoBig.F variant gekomen.
Op 18 augustus is de oorspronkelijke versie, van SoBig.F, op een Porno Usenet Groep van EasyNews gepost.
SoBig.F was released on a sex-oriented Internet discussion group on Monday, according to security experts and EasyNews.com, the Internet service provider that supplied the discussion group with Web access.
De FBI en virus-experts speculeren dan ook, dat deze versie, eveneens als de vorige versies, de geinfecteerde computers in porno spam relay machines veranderd. :(

Afgelopen vrijdag werd dan ook, bij de Internet Service Provider Easynews.com in Phoenix, Arizona, door de FBI, een subpoena afgeleverd. Om zodoende achter de identiteit van de verspreider/spammer te komen. :)

bronnen:
CNN: FBI subpoenas ISP over SoBig
Reuters: Sobig.F Virus Slows; New Wave Seen Possible
Ondanks dat zo'n virus-schrijver verwerpelijk bezig is en voor vele miljoenen (?) schade veroorzaakt, kan je na het lezen van dit artikel niet anders concluderen dat het virus heel knap in elkaar zit.
Ik weet niet of al deze trucjes al bij andere virussen zijn toegepast, maar deze virus-schrijver heeft alles op heel ingenieuze manier samengevoegd.

Jammer dat de schrijver zijn talenten voor dit virus heeft gebruikt, want met de kennis om zo'n virus te schrijven kun je ook veel nuttigere dingen doen.
Bij de meest recente virussen zie je steeds vaker dat er een hele trukendoos werd open getrokken.
Het is niet altijd zo zeer de moeilijkheidsgraad van het virus, maar meer het aantal manieren dat het virus gebruikt om zich te verspreiden is wat centraal komt te staan.

Opzich wordt het steeds spannender :)
Wanneer komt het eerst 2MB virus met alle exploits/backdoors die vanaf win95 bekend zijn? :7
zorgt voor iets téveel traffic, en da valt makkelijker op natuurlijk.. hoe compacter (en efficient tegelijk) hoe handiger het is en minder opvallend en ga zo door...
En als je goed programmeert, past er heeeel veel in 50 KB! Dat tegenwoordig iedereen 666ste generatie programmeertalen gebruikt, waarbij veel onnodige code in de applicaties komt te staan, wil nog niet zeggen dat met een beetje C en een beetje assembly hetzelfde kan worden bereikt met een 100x kleinere .exe (of wat ook) tot gevolg.

Zelf ben ik gestopt toen alles Visual werd. Dus het recht-toe-recht-aan programmeerwerk spreekt mij nog steeds het meest aan.
Wanneer komt het eerst 2MB virus met alle exploits/backdoors die vanaf win95 bekend zijn?
Zijn er geen virussen voor Windows 3.1 ? :)
Nee. Virussen hebben een grote vlucht genomen toen jan en alleman op internet kwam.
Met windows heeft dat niets te maken. De grote vlucht van internet was ook pas ten tijde van Win 98 of zo.

Daarvoor ging het via de gekopieerde floppies van vrienden en bekenden, en dat gaat veel minder snel dan via adresboeken van mailprogramma's of rechtstreeks over het internet.

Over het algemeen kan je ook niet stellen dat virussen zo erg zijn door backdoors en bugs. Het merendeel blijft gewoon een executable attachment waar iemand op klikt. Daar heb je geen enkele bug of backdoor voor nodig.
Virussen hebben pas echt een grote vlucht genomen sinds het Windows tijdperk, en dat is vanaf Win95.
Toen kwamen ook de newbies op het internet en werd het pas echt beschikbaar en bereikbaar voor de gewone man.
Maar als je er voor zorgt dat een attachment kan worden geactiveerd op het moment van openen van de email, zoals in outlook, ben je wel verkeerd bezig.
virussen bestonden al veel langer dan win95 of 3.11.
"vroeger" ging men 1 keer in de zoveel tijd bij elkaar op visite op de dozen diskettes uit te wisselen.

Toen waren er ook al duizenden virussen. Dos had al std een virusscanner. Thunderbyte AV is een bedrijf dat hierdoor groot is geworden :)
Over het algemeen is het zo, dat niet de virus schrijver(s) het virus verspreiden, maar andere mensen die bijvoorbeeld op een zelfde forum zitten als de schrijver(s).
De schrijver(s) van virussen, weten dat dit gebeurt, maar willen vaak niet dat dit gebeurt, ze kunnen het echter vaak niet tegenhouden.
Virussen schrijven, deze vaak hoog inteligente mensen in eerste instantie, om aan elkaar te bewijzen hoe goed ze zijn in het gebruik maken van lekken in software.

@Pietervs
En wie schrijven de programma's dan die script kiddies gebruiken? Juist die personen waar ik het over had. Fijn dat je, je eigen argumenten onderuit haalt. LOL
Over het algemeen is het zo, dat niet de virus schrijver(s) het virus verspreiden, maar andere mensen die bijvoorbeeld op een zelfde forum zitten als de schrijver(s).
De schrijver(s) van virussen, weten dat dit gebruert, maar willen vaak niet dat dit gebeurt, ze kunnen het echter vaak niet tegenhouden.
Virussen schrijven deze vaak hoog inteligente mensen in eerste instantie, om aan elkaar te bewijzen hoe goed ze zijn in het gebruik maken van lekken in software
Dat is geen excuus, ze stellen mensen de tools bschikbaar die er vervolgens rottigheid mee uithalen, daarmee zijn ze zelf even schuldig omdat ze hadden kunnen weten dat er misbruik van hun werk gemaakt ging worden, ze zijn toch zo hyper intelligent?Bovendien twijfel ik aan hun lamme excuus dat het enkel en alleen bedoeld is om hun programmeer skills te demonstreren, dat kun je ook op andere gebieden dan virussen programmeren...
Helaas foute redenatie, mensen dom houden lost niks op.

Virussen programmeren is echt een vaardigheid. Bv laatst was er een virus wat in 1 udp pakket paste.
Het demonstreert i.i.g. hoe slecht bepaalde applicaties zijn geschreven. Het niet publiek geven van code maakt echt niet dat er geen virus uitbraken zijn. Anders zou microsoft ook geen last hebben van virussen. Dynamiet kan ook voor goede dingen gebruikt worden. Net zoals herione gezonder is als methadon, etc, etc. Guns don't kill people, people kill people. Het gaat erom wie het doet.
Scriptkiddies zijn dom en kunnen zelf niet eens programmeren... ze moeten de tools van anderen gebruiken. Maar daar kunnen ze ook nie mee omgaan, dus vandaar dat er veel schade ontstaat
Misschien hoopt hij op deze mannier bekendheid te krijgen en/ of een baan aangeboden te krijgen bij een softwarebedrijf.

Meestal zijn dit alles of niets pogingen.
Niets heeft hij al, dus probeerd hij nu alles te krijgen.
Als de virusschrijver gearresteerd krijgt hij inderdaad een prachtbaan van de Amerikaanse overheid aangeboden: enveloppen plakken in een high security gevangenis.

Achter het Sobig-virus zit niet iemand die een gat in een beveiliging wil aantonen, maar iemand met heel wat duisterdere plannen.
De daadwerkelijke activatie van de worm zal op 10 september plaatsvinden.
Moet dat niet deactivatie zijn? Ik denk niet dat het iemand ontgaan is dat de worm al actief was vorige week. :)
quote van symantec site:
The worm de-activates on September 10, 2003. The last day on which the worm will spread is September 9, 2003.

Dit moet dus wel degelijk de-activatie zijn.
Waarschijnlijk doelt men hier op het feit dat het virus zijn doel gaat volbrengen. in deze context is het dus activeren ;)
Dus dan zou het ook mogelijk zijn om de datum terug te zetten als je nog geen fix hebt ?
(of vooruit }> )
Tenzij via NTP even de tijd opgevraagd zou worden, en de worm zich alsnog activeerd.
Dit doet hij dan ook.

quote van symantec:
Sobig.F obtains the UTC time through the NTP protocol, by contacting one of several possible servers on port 123/udp (the NTP port).
De echte tweakert is natuurlijk volledig virusvrij, maar voor diegenen die het angstig boosaardig vermoeden hebben ermee besmet te zijn, de removal tool is hier te vinden.
me mailserver heb hem er vandaag maar stuk of 50x uit gefilterd..... :)
50 maar? gelukzak... in slechte tijden krijg ik er vijftig per uur, gisterenavond was er weer zo'n piek
Ben blij dat we tegenwoordig bij tweakers elkaar de huid niet meer volschelden als we het ergens niet mee eens zijn. De manier waarop mensen hier met elkaar omgaan is echt voorbeeldig.
Volgens mij is dit een geldige kandidaat voor zo'n software-patent :Y)
Ja het is nu maar wachten op het eerste virus met een bug in... effe updaten via http://v4.windowsupdate.virus.com/nl/default.asp :Z
Dit virus had al een bug

Symantec site
When W32.Sobig.F@mm is executed, it performs the following actions:
...
5 Enumerates any network shares to which the infected computer has write access. The worm uses standard Windows APIs to do this.
NOTE: Due to a bug in the code, the worm does not copy over network shares.
Puur technisch gezien beschouw ik de virussen van de afgelopen jaren niet als ware virii. Het zijn eigenlijk scripts die, wat programmeerkunst betreft, bij lange na niet zo goed in elkaar zitten als een echte virus. Ze zijn in feite niets meer dan OS-afhankelijke applicaties.

Blij dat ik achter m'n Linux-bak zit.
Ik zit op windows xp en heb nergens last van. Een firewall, virusscanner, geregeld updates installeren en geen outlook draaien (outlook zelfs verwijdert van m'n systeem).

Daarnaast verdachte attachments niet zomaar openen.

Als je een beetje slim met je computer omgaat heb je echt nergens last van.
Nu alleen explorer nog, want in outlook zitten geen bugs, die maakt gebruik van alle explorer bugs.(html rendering en zo)
Outlook Express 6.0

Extra >> Opties >> Beveiliging >>
Opslaan of openen van bijlagen die mogelijk een virus bevatten niet toestaan

Even aanvinken, en je vrouw belt nog steeds, maar dan ben je er zeker van dat je niet met een hoop werk zit als je thuis komt ;)
Geprobeerd, Hield SOBIG.F niet tegen hoor :Y)

En mijn vrouw belt ook niet!! :'(
Spannend! Stukken beter dan Neighbours!


Ben es benieuwd naar hoe dit gaat aflopen, in de krant voorspelde zo'n meganegatieve doemdenker dat het Internet nu al enkele dagen plat zou gaan liggen.

Daar zie ik Sobig nu wel niet echt toe in staat... gevaarlijk wordt het natuurlijk pas wanneer er een virus komt dat het beste van Sobig en Lovesan (of zoiets) combineert.
Die doemdenker is vast de schrijver van het virus.
De belangrijkste oorzaak van het "succes" van al die wormen, virussen etc. is het feit dat we momenteel leven in een mono-cultuur wat betreft desktop-computers. Een foutje in de software van Microsoft kan ervoor zorgen dat de hele wereld virtueel plat ligt. We kunnen dus maar het beste het gebruik van verschillende soorten software stimuleren. Niet alleen variatie in besturingssysteem (Linux en MacOS), maar ook verscheidenheid in toepassingen (Mozilla, Opera, ICQ, Eudora, OpenOffice, The Bat!).
Gelul! Wat heeft domme gebruikers nou te maken met de software? Wat maakt het nou uit of Truus Typetrut hele_gevaarlijke_attachment.exe nou opent in Outlook of via een andere mailclient? Als Outlook niet meer de dominante email client is, trek een virus de emailadressen echt wel uit een andere bestandje.
Komt niet meer voor als er meer keuze is een OS?
Joepie, meer OSsen! Dan kan ik eindelijk weer wachten tot ze Cool_Programma V2 eindelijk porten naar mijn OS. Ik kan niet wachten op het moment dat de tijd weer wordt teruggedraait!
Ik kijk met weemoed terug naar het moment toen ik moest wacht tot de port van DOS naar Windows en van DOS naar MAC klaar was zodat ze eindelijk een port naar OS/2 konden maken.

Ik heb liever af-en-toe ellende dan elke dag geetter met bestanden die ik niet kan openen.
Als je zo door redeneert kun je ook zeggen dat (bijna) alle PC's in Intel of intel compatible hardware draait. Dus jij wilt dt iedereen zijn goedkope wintel combi gaat intuilen tegen andere combi's?

OK apple is redelijk gebruikersvriendelijk.

maarreh ik ga niet tegen al mijn niet deskundige klanten zeggen dat ze van windows af moeten.

Er is nergens een dergelijke oceaan van goede software te krijgen als voor dat platform.

Als windows te veel last krijgt van de monocultuur zoals je dat noemt, komen er heus wel tegenkrachten op gang die wel krachtig genoeg zijn.

en nee LINUX kan nog niet in de schaduw staan van.
te ingewikkeld, te technisch en te weinig kwalitatief goede programma's en te veel smaken.
...dat we momenteel leven in een mono-cultuur wat betreft desktop-computers.
idd goed punt.

nog als aanvulling: de applicaties van Microsoft zijn veelste geintegreerd. Deze 'soep' maakt het alleen maar makkelijker om dingen uit te halen.

msn messenger in outlook express + adressbook + explorer + internet explorer. Ze gebruiken elkaar allemaal. En een fout in Internet Explorer geeft problemen in de html view van outlook express. wat we steeds weer merken. alles bij elkaar een super gevaarlijke combinatie imho |:(

wat ik me afvraag.. is als er ooit virus uitbraken voor linux komen, zullen die dan ook even hevig kunnen zijn? of zijn apps en users daarvoor teveel van elkaar afgeschermd? (zeker als non-root)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True