Verspreiding worm Sober.P plotseling stilgelegd - Update

Computer / Worm / Virus Van maandag op dinsdag is de activiteit van de Sober.P-worm vrijwel helemaal gestopt, zo meldt ZDNet. Antivirusmaatschappij Sophos heeft die nacht een daling van 84 naar 1 procent opgemerkt. De malware, die zich per email verspreidt, is zo geschreven dat het bepaalde URL's bezoekt om updates binnen te halen. Op die manier kan de worm op afstand opgedragen worden om bepaalde handelingen uit te voeren. De auteurs kunnen door het beschikbaar stellen van een update de worm een spamcampagne laten beginnen, een DoS-aanval laten uitvoeren of een andere manier van verspreiden aanleren. Het is geheel onduidelijk waarom de programmeurs de verspreiding hebben stopgezet. De uitbraak van vorige week heeft gezorgd voor een hoge activiteit op het internet; experts zeggen dat 5,4 procent van alle e-mail en 84 procent van alle binnengekomen meldingen het werk was van Sober.P.

Update: Op Viruslist.com lezen we dat er een nieuwe Sober-variant is ontdekt, Sober.Q. Sober.Q wordt gedownload door computers die geïnfecteerd zijn met Sober.P en verspreidt zich vanaf hier verder. Volgens Viruslist is het niet onwaarschijnlijk dat Sober.Q een nieuwe grote uitbraak zal veroorzaken.

IT-banen

Reacties (58)

Countess 14 mei 2005 19:39

het moet toch vrij simple zijn om uit te zoeken welke url's het virus bezoekt?
en dan moet het toch ook niet zo moeilijk zijn om uit te zoeken wie daar wat doet, of zelf een commando daar neer te zetten. (met medewerking van host/bedrijf/isp in quesitie)

RedLizard @Countess • 14 mei 2005 22:48

Je kunt updates e.d. ook op een andere manier uitdelen dan via een centrale server. Een piramidenetwerk werkt bijv. erg goed. Zo van: de worm die op mijn geinfecteerde machine draait heeft het adres opgeslagen van de machine waar hij hem heeft gedownload. Die machine heeft een door de worm opgezette webserver draaien, en daar ga ik mijn updates halen. Op die manier zijn er maar een paar computers die hem rechtstreeks van de rootserver zullen halen. Ook zijn zulke netwerken extreem moeilijk uit de lucht te halen. Het levert alleen wel wat latency op als je een commando uitvoert; machines die uitstaan en zo. Maar als de update zo instelt dat hij een week na nu gaat beginnen, dan is dat niet zo'n probleem.

n4m3l355

Bedrijfsnieuws

@RedLizard • 15 mei 2005 01:01

of een bittorrent/exeem netwerkje? worms worden zo gruwelijk klein geschreven het zou me niet verbazen als ze in staat zijn om er een uiterst geripte BT clientje in te bouwen en dan is een update nog sneller gedaan. maar dannog als er zoals aangegeven wordt centrale servers zijn zou je toch sneller moeten kunnen handelen door bv bij een pyramide zoals je voorstelt remotely vanuit die server een 'halt' commando te geven. ik kan me best voorstellen dat bij de amerikaanse overheid wel een zooitje techneuten zijn die zo'n servertje kunnen hacken en dan de worm commanderen, iets waar ik me ook wel in zou kunnen vinden om het te rechtvaardigen. aan de andere kant waarom zouden er geen wormpjes van de verschillende overheden vrijkomen

EJP @Countess • 14 mei 2005 20:16

Een goede hacker maakt natuurlijk nooit een directe verbinding naar de url's waar hij zijn controlesysteem op heeft staan. Hij gebruikt een openbare verbinding of een verbinding van iemand anders.

Countess @EJP • 14 mei 2005 20:50

natuurlijk, maar zelfs dan, met genoeg medewerking, moet er wat uit te zoeken zijn.
zelfs als hij alle plaatsen maar een keer gebruikt moet hij er geweest zijn.

YaPP @Countess • 15 mei 2005 12:58

het moet toch vrij simple zijn om uit te zoeken welke url's het virus bezoekt?
en dan moet het toch ook niet zo moeilijk zijn om uit te zoeken wie daar wat doet, of zelf een commando daar neer te zetten. (met medewerking van host/bedrijf/isp in quesitie)

Voor hetzelfde geld is jouw PC gehackt, en word daar gebruik van gemaakt

aan de URL heb je dus weinig, en dan weet je ook weer waarom iedereen toch een firewall moet installeren, ook al "heb je niets belangrijks op jouw pc staan"..

(het standaard argument dat je zelfs op T.net hoort)

Verwijderd @Countess • 14 mei 2005 19:43

Jup het commando: Do nothing

Het zou idd erg makkelijk moeten zijn om die urls te achterhalen... server plat te leggen of gewoon weg het commando geven om niets meer te doen (geen commando) Of denk ik nu te simpel ?

Verwijderd 14 mei 2005 19:08

Ik hou 2 mogelijkheden open: óf het is gewoon een test of ze zoiets ook weer een halt toe kunnen roepen (een soort van god gevoel bij de makers .. totale controle), óf ze hebben per ongeluk een commando gegeven die foutief is en dus niet werkt.

rb338 @Verwijderd • 14 mei 2005 19:19

Of ze pesten ons gewoon allemaal en gaan morgen weer verder

edit@update: Woei, vandaag zelfs al

solatis @Verwijderd • 14 mei 2005 19:10

OF ze sliepen niet meer zo lekker, zijn bij zichzelf in beraad gegaan, en hebben een juiste beslissing gemaakt...

Verwijderd @Verwijderd • 14 mei 2005 20:08

Je noemt 2 mogelijkheden, maar misschien hebben ze iets beters gemaakt en is die hele sober niet meer nodig.

Verwijderd @Verwijderd • 16 mei 2005 09:44

Of... Ze vreesden ontdekt te worden en houden zich even gedeisd.

LooP 14 mei 2005 19:28

Stilte voor de storm misschien ?

GrooV @LooP • 14 mei 2005 19:56

Stilte voor de worm

418O2 @LooP • 14 mei 2005 19:38

dat is wat ik ook dacht.. Ik denk dat het naief is om te denken dat het echt is gestopt

Verwijderd 14 mei 2005 20:34

Volgens Viruslist is het onwaarschijnlijk dat Sober.Q een nieuwe grote uitbraak zal veroorzaken.

Volgens mij lees je dat niet helemaal goed.

Op Viruslist.com staat: Another outbreak is not unlikely

edit :: al aangepast zie ik

Verwijderd 14 mei 2005 21:06

in principe kan je via hetzelde systeem ervoor zorgen dat de worm zichzelf opruimt.via een gekraakte server een soort final update geven.

I Am Weasel 15 mei 2005 05:27

Ik begin sinds vannacht weer troep te ontvangen.
Het komt van hetzelfde adres als waar ik al last van had.
Er zitten geen ingepakte .pif's bij deze keer.
Helemaal geen bijlage, dus wat het doel ervan is mag joost weten.
Aan de headers te zien toch een Sober iets.
Wat wel vreemd is,is dat de berichten,met wat text 808 bytes zijn...terwijl als ik een leeg mailtje naar mezelf stuur,deze 2 Kb is.

mouse256 @I Am Weasel • 15 mei 2005 10:44

vrij off-topic, maar een lege mail van 2kb is niet zo vreemd, hangt veel af van je email programma.
Als je met outlook (niet de express, die is op dat gebied veel beter) een lege mail stuurt moet je maar eens de sourcecode bekijken: gewoon om te wenen hoe een slechte hmtl microsoft weet te maken. html emails met outlook zijn een echte schande imho, outlook express doet het vele beter, ik snap het soms niet bij microsoft...

Iet @I Am Weasel • 16 mei 2005 22:41

Die mailtjes zullen ergens op de mailserver geschoond zijn dan, is mijn eerste gedachte.

Verwijderd 15 mei 2005 14:58

tsss... nou nou wat een drukte maken

@maxxi: 95% van alle data onbruikbaar

Het lijkt me dat daarvoor nou juist backups worden gemaakt. het lijkt me ook niet echt zo dat 95% van alle pc's geinfecteerd zou worden.

@997c2s Nee, gelukkig niet, maar ik denk dat de totale schade misschien wel groter is als er een linux/unix virus komt. Het zal dan waarschijnlijk zo zijn dat dan JUIST de servers zonder windows getroffen worden en omdat bedrijven vaak hun data opslaan op een centrale server

tja unix uitgesloten maar linux hoort uit mijn standpunt niet op een centrale server, zelf windows 2003 server hoort daar meer dan linux. maar als je echt zekerheid wil dan moet je naar Novell of Unix gaan kijken (linux is wel een stukje van unix veranderd)

voor de centrale database moet je helemaal geen linux gebruiken, zelfs google gebruikt geen mysql voor database opslag (dat er andere dingen wel met mysql worden gedaan is mij wel bekend) oracle en microsoft sql server zijn stabielere en veiliger oplossingen.

dat als er een goed linux virus wordt geschreven de wereld vergaat lijkt me onwaarschijnlijk dat een hoop thuisgebruikers de dupe zijn en hun data verliezen tja, maar dan hadden ze maar backups moeten maken

Proxy @Verwijderd • 15 mei 2005 16:25

maar dan hadden ze maar backups moeten maken

Zeg je tegen iemand die wordt neergeschoten ook dat ie dan maar een kogelbestendig vest had moeten dragen?

mr_star @Verwijderd • 16 mei 2005 21:32

voor de centrale database moet je helemaal geen linux gebruiken, zelfs google gebruikt geen mysql voor database opslag (dat er andere dingen wel met mysql worden gedaan is mij wel bekend) oracle en microsoft sql server zijn stabielere en veiliger oplossingen.

Is mysql dan de enige database die onder linux kan draaien?

linux is wel een stukje van unix veranderd
Linux is 'from scratch' geschreven en niet zo maar een beetje veranderd van unix.

Verder vraag ik mij af waarom jij van mening bent dat linux of windows server 2003 niet op een server thuishoren als je klaarblijkelijk geen kennis hebt van deze OS'en

Verwijderd 14 mei 2005 19:14

Ik ben er in ieder geval blij mee. Elke dag meer dan 25 mails verwijderen begon langzaam vervelend te worden.

Mayco @Verwijderd • 14 mei 2005 19:24

hmm, het is toch niet omdat de verspreiding niet meer verder gaat dat de worm gestopt is? de pc's blijven nog wel besmet. mss hebben ze gewoon genoeg pc's besmet om morgen aan een leuke ddos te beginnen...

edit: was niet als een reactie op jeroen bedoelt...

jvaalder @Verwijderd • 28 mei 2005 01:25

Als ik slechts 25 stuks ongein per dag in mijn mailbox kreeg, zou ik het verdacht rustig vinden. Doorgaans is meer dan de helft van mijn mail - in de orde van 100 per dag - spam, deels virushoudend. Maar last heb ik er niet van, aangezien ik aan iedereen die mij mag emailen een verschillend adres geef. Krijg ik mail van X, gericht aan het adres dat ik X gegeven heb, markeert Mailwasher die groen. Van de overige email wordt het meeste door de learning filters rood gemarkeerd. Er blijven dan een paar witte over, misschien 5 per dag, en meestal kan ik die alleen al op basis van adressen en subject als vullis markeren voor het learningfilter. Vervolgens wordt de zooi met 1 klik opgeruimd.

Intussen is die methode overigens al wat achterhaald: Thunderbird heeft nu goede filtermogelijkheden, zodat ik nu bezig ben de routeerfilters in TB ook de junkfiltering over te laten nemen. Dat scheelt weer wat overhead.

Van harte aanbevolen als je geen zin hebt je met handmatige filtering bezig te houden.

Rey Nemaattori @Verwijderd • 14 mei 2005 19:49

Geen gratis Spamfiltertje bij provider?

Damn, 25 mail per dag is enorm veel.....90% van de spam die ik krijg zijn van plekken waar ik *ooit* ben geweest en nog steeds mee lastig gevallen word..... zelfs dan waren het slachts een paar berichten per dag....

GiLuX 15 mei 2005 14:15

draait windows dan op 95% van alle pcees wereldwijd?

Verwijderd @GiLuX • 15 mei 2005 14:36

Nee, gelukkig niet, maar ik denk dat de totale schade misschien wel groter is als er een linux/unix virus komt. Het zal dan waarschijnlijk zo zijn dat dan JUIST de servers zonder windows getroffen worden en omdat bedrijven vaak hun data opslaan op een centrale server (ik zeg meestal) kan de schade dan nog eens best beoorlijk zijn

GiLuX @Verwijderd • 15 mei 2005 16:53

ik neem aan dat je het hier dan hebt over linux/unix servers van bedrijven die niet aan beveiliging doen zoals de meeste thuisgebruikers met windows dat ook niet doen.
.. toch?

in dat geval zou het inderdaad vervelend kunnen zijn voor die bedrijven.
maar aan de andere kant, ik denk dat dat soort servers eerder worden gehacked dan geinfecteerd door een worm.

wel vervelend voor die hackers,
hebben ze net een server overgenomen, gaat een of andere worm er vervolgens weer mee aan de haal.
tenzij die hacker die bak meteen zelf patched....
ehh...

en nu helemaal offtopic,
hoe zit dat eigenlijk heren hackers, als haxor A een bak overneemt patch hij dan meteen het gat waardoor hij binnenkwam omdat anders haxor B via het zelfde gat binnen kan komen en haxor A er weer uit kan gooien?

jesse282 14 mei 2005 19:45

Of een hacker heeft deze servers waar het virus zijn commando's vandaan krijgt gehackt.

MBV @jesse282 • 14 mei 2005 20:56

Juist dan lijkt het me heel belangrijk om die servers plat te gooien, toch?
Als je weet welke url's er gebruikt worden, en het internetverkeer met 5% toeneemt, lijkt het me in het algemeen belang om te zorgen dat die krengen gaan stoppen, en iig geen dDOS aanval ontketenen...

Op dit item kan niet meer gereageerd worden.

Verspreiding worm Sober.P plotseling stilgelegd - Update

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: