Opnieuw uitbraak van Sober-variant

Een uitbraak van een nieuwe variant van de mass-mailerworm Sober heeft veertig procent van het e-mailverkeer wereldwijd in beslag genomen, zo meldt CleanPort. Gisteren om precies acht uur Nederlandse tijd begonnen de oudere wormen deze nieuwe variant massaal te verzenden. Deze nieuwe worm, Sober.X, probeert gebruikers te overtuigen dat de e-mail waar hij als bijlage meegezonden wordt van de FBI komt. De Amerikaanse organisatie zou de gebruiker hebben nagetrokken en hebben geconstateerd dat deze illegale sites bezocht. De ontvanger wordt dringend verzocht de vragenlijst in de bijlage te openen en in te vullen, waarmee hij of zij onwetend de worm activeert.

Sober.X Anti-hangoverDe FBI heeft in een persbericht laten weten dat deze e-mail absoluut niet authentiek is en dat de organisatie de zaak erg serieus neemt. Hoewel het e-mailbericht hoofdzakelijk niet op waarheid berust, heeft de bedenker van de nieuwe worm er wel aan gedacht om het echte adres en telefoonnummer van het bureau erin op te nemen, wat tot resultaat had dat een golf van telefoontjes van verontruste en gefrustreerde gebruikers het klachtencentrum van de overheidsorganisatie bezig hield. Vanwege de enorme toename van geinfecteerde computer heeft Symantec besloten de status van de worm op te schroeven naar een risico van het derde niveau. Dit is het op twee na hoogste niveau dat Symantec hanteert voor de klassificatie van de ernst van virussen en wormen.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 24-11-2005 12:36
78 • submitter: _reboot_

24-11-2005 • 12:36

78

Submitter: _reboot_

Lees meer

'Botnettrojan Storm steekt Sober naar de kroon'
'Botnettrojan Storm steekt Sober naar de kroon' Nieuws van 15 augustus 2007
Microsoft verwacht wormuitbraak
Microsoft verwacht wormuitbraak Nieuws van 11 augustus 2006
'Wormhole' in Symantec AntiVirus ontdekt
'Wormhole' in Symantec AntiVirus ontdekt Nieuws van 26 mei 2006
Advies: scan Windows-pc voor 3 februari vanwege worm
Advies: scan Windows-pc voor 3 februari vanwege worm Nieuws van 30 januari 2006
Anti-virusproducent kraakt url-code Sober-virus
Anti-virusproducent kraakt url-code Sober-virus Nieuws van 10 december 2005
Nieuwe IM-worm knoopt gesprek aan met slachtoffer
Nieuwe IM-worm knoopt gesprek aan met slachtoffer Nieuws van 7 december 2005
Sober.Q start massale spamcampagne
Sober.Q start massale spamcampagne Nieuws van 17 mei 2005
Verspreiding worm Sober.P plotseling stilgelegd - Update
Verspreiding worm Sober.P plotseling stilgelegd - Update Nieuws van 14 mei 2005
Traditionele worm verdwijnt uit viruslandschap
Traditionele worm verdwijnt uit viruslandschap Nieuws van 19 maart 2005
Top-10 virussen februari bevat voornamelijk oudere soorten
Top-10 virussen februari bevat voornamelijk oudere soorten Nieuws van 2 maart 2005
Netsky blijft virus top tien van Sophos aanvoeren
Netsky blijft virus top tien van Sophos aanvoeren Nieuws van 3 december 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (78)

-Moderatie-faq
78
78
35
8
2
12
Wijzig sortering

Sorteer op:

Weergave:
Speedswitch 24 november 2005 13:07
Ik snap 1 ding niet...

Als deze virussen allemaal een ''sober'' variant zijn, dan moet er toch een aantal overeenkomsten zijn in de broncode?

En als dit zo is zou het toch relatief eenvoudig moeten zijn voor virusscanners om deze te verwijderen?

Voorbeeld: Alle sober varianten hebben dezelfde karakters in regel...72 (noem maar wat) Dan kunnen virusscanners toch aangepast worden zodat ze zoeken in regel 72, die uitlezen, en als het bestand overeen komt met een andere soberworm verwijderen?

Mischien heb ik het ook helemaal fout, dus feedback is welkom :)
Verwijderd @Speedswitch24 november 2005 13:19
Broncode, ja. Executable code, eventueel niet.

Bovendien zitten virusschrijvers ook niet stil, en er zijn zichzelf muterende virussen die zichzelf dusdanig veranderen (blokjes code omdraaien of zo, ik weet het niet) om virusscanners om de tuin te leiden.
Venga AB @Speedswitch24 november 2005 13:19
Echter pas als een nieuwe variant in het wild is gesignaleerd kun je pas zien of die variant diezelfde overeenkomst heeft.

Virusschrijvers kijken uiteraard naar de door de virusscanners gebruikte patronen en kunnen zodoende makkelijk een variant maken welke niet matched op dit patroon :Y)
_JGC_ @Speedswitch24 november 2005 14:18
Er zit veel overeenkomst in dit soort virussen. Veel virusscanners hebben ook gewoon generic detection waarmee ze nieuwe varianten gewoon kunnen bestrijden. Vaak maakt het ook nog uit hoe je virusscanner gevoerd wordt met spul:
2 mailservers, beide zowat dezelfde setup, echter mist mailserver nummer 2 het tooltje "unzip". Komt nieuwe Bagle variant binnen: server 1 herkent het virus niet, server 2 pakt het virus met een generic signature omdat ie de ZIPfile herkent, maar de .exe file die erin zit niet. Virusscanner op server 1 heeft nooit de ZIPfile gekregen van de content scanner, alleen de .exe die erin zat. Aangezien de virusscanner zelf ook kan unzippen, snel mailserver 1 ook maar ontdaan van dit tooltje.
gtissink 24 november 2005 12:51
Heb ook last van een drietal mailtjes met virussen
allemaal W32/Sober.AA@MM (Norman Virus Control)

* office <at> chello.nl : Registration Confirmation
* office <at> quicknet.nl : Registration Confirmation
* Admin <at> hotmail.com : Mail delivery failed

Allemaal met een zip file met virus en allemaal ontvangen op dinsdag.
Verwijderd 24 november 2005 13:16
Vraag me af wanneer de strafmaat eens omhoog gaat tegen deze eiqols. Je hoeft btw maar 1 slechte schakel in je emailers te hebben en je krijgt hem zelf ook want het nare is dat er adressenlijsten worden gekopieerd en dan naar een ieder doorstuurd, mjah, dan gaat het snel.

Maar de strafmaat moet eens drastisch omhoog, tot die tijd blijf je dit soort dingen houden en komen we er nooit vanaf. Je kan het internet redelijk beheren, maar met iemand met een laptop en een "gevonden" mobieltje ben je gewoon nergens. Als je ze dan al pakt, mjah, dan geen taakstraffen of banen aanbieden heh, dat stimuleert ze alleen maar |:(
engelbertus 24 november 2005 13:29
ik ben blij dat xs4all deze zooi er al uit filter voor het op onze eigen mailserver aankomt. lekker rustig. denk dat we zolang we die server draaien, nog geen enkel virus-mailtje hebben ontvangen.

uiteraard wel nog af en toe hoax-mailtjes die doorgestuurd werd door onze contacten. :S

en soam wordt ook allemaal door xs4all gefilterd.
dat is echter nog niet 100% waterdicht.
Verwijderd 24 november 2005 13:17
Mhh ik heb er nog geen last van gehad, klanten ook nog niks gehoord van 'gekke mailtjes van de FBI'. Sowieso een beetje ongeloofwaardig dat de FBI gaat e-maillen die komen wel langs als ze je echt nodig hebben!
Verwijderd @Verwijderd24 november 2005 13:22
Sowieso een beetje ongeloofwaardig dat de FBI gaat e-maillen die komen wel langs als ze je echt nodig hebben!
Dat weet jij, dat weet ik. Maar een argeloze gebruiker die naief genoeg is om te denken dat het mailtje echt van de FBI komt, die weet dat niet. En de grootte van die groep mensen is niet te onderschatten.

Of een executable met de naam "pamela_anderson_nude.jpg.exe", moet jij eens opletten hoeveel HNG's (die de extensie .exe niet zien want dat staat standaard uit) dat toch openen...
bastiaank @Verwijderd24 november 2005 13:51
Inderdaad.
Suggestie voor Vista: Extenties altijd laten zien.
Verwijderd 24 november 2005 12:50
is sober een email virus dat alleen op microsoft windows werkt of zijn ander systemen (unix, linux, mac os x) ook kwetsbaar voor sober?
liledevil @Verwijderd24 november 2005 13:13
Volgens TrendMicro zijn de virussen w32, dit houd in dat het virussen zijn voor 32bits windows varianten.
De logische aanname, die je imho dan mag doen, is dan dat het niet geld voor *nix varianten of MacOs.
.Frank 24 november 2005 12:40
Ik krijg al sinds dinsdag een sterk verhoogde hoeveelheid mailtjes met deze inhoud, niet pas sinds gisteren acht uur...
Verwijderd @.Frank24 november 2005 12:51
Inderdaad. Sterker nog: ik dacht eerst dat NOD32 over de zeik gegaan was zoveel kreeg ik er binnen. Achteraf blijkt het toch te kloppen.

Gelukkig helpt @Home een handje, de internetverbinding in Emmen ligt al twee dagen plat, geef de virussen geen kans! :D

Grappig feit dat zoveel mensen de FBI gaan bellen. Ik ga er maar vanuit dat 100% daarvan Amerikaan is. Kan me niet voorstellen dat we in Europa dom genoeg zijn om hier in te trappen...
Tigertje @Verwijderd24 november 2005 13:54
Wees blij dat NOD32 in ieder geval het virus herkend. Ik heb al van verschillende Norton gebruikers gehoord dat die het virus gewoon binnenliet.
Domenique @Tigertje24 november 2005 14:28
Klopt inderdaad. Dinsdag ochtend kreeg ik het eerste ( en ook gelukkig de enige) besmette systeem binnen.

Symantec heeft echter wel dinsdag avond een update uitgebracht dat ie wel erkend word.
Verwijderd @Tigertje24 november 2005 14:48
Wees blij dat NOD32 in ieder geval het virus herkend. Ik heb al van verschillende Norton gebruikers gehoord dat die het virus gewoon binnenliet.
Dat is dus inderdaad de reden dat ik NOD32 van ESET gebruik. Dit is de enige AV oplossing die nog altijd een 100% score op de detectie van virussen "in het wild" heeft. Qua virusdetectie is er dus bewezen geen betere.

Nu moet ik wel zeggen dat je eigenlijk geen virusscanner nodig zou moeten zijn voor dit soort simpele dingen. Een goede e-mail client en een oplettende gebruiker en het probleem bestaat niet eens.

Mensen zouden verplicht een computercursus moeten krijgen, scheelt de staat en het bedrijfsleven een hoop geld en zorgen!
Rembert @Tigertje24 november 2005 15:25
15 november meldde de Exchange versie van NOD32 een onbekende variant van de Sober worm. De software vroeg of ik dit virus wilde versturen naar NOD32. Dit ook gedaan. Geen idee of dit de X variant betrof. Even gekeken op de NOD32 site: 15 november is de X-variant toegevoegd aan de database. De Y variant is 3 dagen later toegevoegd.
mashell @Tigertje24 november 2005 16:15
Heel mooi. Nog 1 tje en het sober alfabet is vol en zijn we er van af!
sarcast @Tigertje24 november 2005 15:17
en een hoop werkgelegenheid :+
TheCapK @Tigertje24 november 2005 21:11
Nee hoor! Dan beginnen ze gewoon met AA variant, kunnen er weer 26 A-varianten komen en dan gaan ze door op de B variant etc!
labtech @Verwijderd24 november 2005 17:07
Grappig feit dat zoveel mensen de FBI gaan bellen. Ik ga er maar vanuit dat 100% daarvan Amerikaan is. Kan me niet voorstellen dat we in Europa dom genoeg zijn om hier in te trappen...
doe eens wat aan je inlevingsvermogen zou ik zeggen. De VS heeft geen patent op domme inwoners.. Sterker nog, ik denk dat je aan deze kant van de plas veel meer computerleken tegen komt dan aan de overkant.
labtech @Verwijderd24 november 2005 17:10
Mensen zouden verplicht een computercursus moeten krijgen, scheelt de staat en het bedrijfsleven een hoop geld en zorgen!
Als je kijkt naar de cursus die de meeste mensen met goed gevolg hebben afgelegd, het rijexamen dus, dan zou ik die conclusie niet willen trekken... 99% van thuisgebruikers wil alleen maar msn-en, en trekt zich geen bal aan van welke computerveiligheid dan ook.....

...totdat ze een keer de portomonee moeten trekken om hun computerje weer schoon te krijgen.
foppe-jan @.Frank24 november 2005 13:02
mja.. ik nu ook al 2 dagen (ongeveer 100 mailtjes denk ik so far..) wordt er een beetje moe van. en symantec had t risiconiveau gisterochtend al op 3 staan.. beetje jammer dat dit nieuws zo vertraagd hier aankomt dus :P

edit: ik zie dat er ondertussen een nieuw mailtje uit is..

"hi, ive a new mail address

hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...
cyaaaaaaa"
Verwijderd @foppe-jan24 november 2005 15:04
Idd, ik wordt er ziek van van al die stomme emailtjes, en het zijn er ook niet een paar :(
Toto nu toe tegengekomen, die van de FBI en CIA (your ip address has been logged), en idd, dat mailtje van 'Hi i have a new maildres' of en zo'n namaak mailtje van smtp_deliviry_failure -
This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!
----
deze heeft volgens de virusscanner van chello: virus W32/Sober@MM!M681

Ik weet niet precies wat er aan de hand is, maar mn hotmailbopx ontvangt er wel een stuk of 20, en mijn eigen mailserver ook zoiets... wordt er wel ziek van !!!
brompot758 @foppe-jan24 november 2005 13:28
Dat nieuwe mailtje is Sober.CF, niet Sober.X (Volgens AVG althans).
foppe-jan @brompot75824 november 2005 14:00
ah.. kaspersky noemt het sober.y.. dus je blijft bezig met die namen :P
dj.verhulst @.Frank24 november 2005 13:51
Wat ik niet snap dat mcafee bv sinds de update van gisteren dit virus kent....
ben je mooi een dag of twee kwetsbaar.

we draaien surfcontrole , en die heeft meerder scan engine , pakt de ene het niet dan de andere wel.
exe en zip met ex of vsb worden zo wie zo wel gebounched
rijk0214 @.Frank25 november 2005 07:29
Ik ontvang zo een 30 mailtjes per dag met deze rommel, en dat al sinds dit weekend. Vrij irritant. Nou maar hopen dat er geen mensen zijn die het verhaal ook nog geloven.

Tsja, de wereld is raar |:(
Verwijderd 24 november 2005 12:50
Is dit de gezipte "1.exe" met het icoontje van een jpg? Mijn virusscanner kon me namelijk niet vertellen welk virus dit was.

-edit- na 2 uur wachten en updaten zegt mijn virusscanner dat het gaat om 'Trojan-Downloader.Win32.Bagle.d' is dit ook een sober variant? ik heb er nu al 3 binnen..
maxxware @Verwijderd24 november 2005 13:09
Ziedaar het drama van virusscanners. Ze kunnen pas een virus vinden als deze voorkomt in hun signature-database.
Een virusscanner doet z'n werk pas als het virus binnen is, en dan alleen als het stukje malware als virus herkend wordt.
Daarom is een virusscanner ook niet afdoende, maar zul je (om echt geen last van virussen te hebben) naar een OS moeten overstappen dat niet zo gebouwd is dat het concept 'virus' er niet voorkomt.
MPAnnihilator @maxxware24 november 2005 13:42
Niet correct vind ik. Wormen maken meestal gebruik van ontdekte lekken in een OS. Mijn inziens kunnen er net zogoed wormen geschreven worden voor Linux of Mac.

Alleen voor de makers van malafide software is het Windows platform aanlokkelijker omdat er gewoon meer gebruikers van zijn.

De vinger moet dus gewoon naar de eindgebruiker gelegd worden in dit geval. Dat Windows wbt opbouw en structuur misschien er meer vatbaar voor is, dat kan zijn. Daarvoor ken ik Linux niet goed genoeg. Maar ik slaag er persoonlijk dan de laatste jaren toch al in Virusvrij/probleemvrij te blijven zonder virusscanner of spywarescanner. Gewoon een aantal basisregels in acht nemen en er hoeft met een goed gepatchte Windows pc echt niets gevreesd te worden.
maxxware @MPAnnihilator24 november 2005 14:11
Wormen maken meestal gebruik van ontdekte lekken in een OS. Mijn inziens kunnen er net zogoed wormen geschreven worden voor Linux of Mac.

Klopt. Maar om een worm in MacOS, Linux of *BSD te kunnen injecteren moet dat gebeuren via een account met veel rechten en via een lek in een proces dat draait onder dit user-account. En dat is bij MacOS, Linux of *BSD beter afgeschermd dan bij Windows. Onder Windows kun je allen 'gemakkelijk' werken als je power user of administrator bent.

Alleen voor de makers van malafide software is het Windows platform aanlokkelijker omdat er gewoon meer gebruikers van zijn.

Dat is een denkfout. De reden waarom er zo veel virussen geschreven worden Windows is omdat Windows gebruiksgemak boven beveiliging heeft gesteld.
MPAnnihilator @MPAnnihilator24 november 2005 14:32
En had Microsoft veiligheid gekozen , boven gebruiksgemak , dan hadden ze nooit zo groot en machtig geworden. Het is vraag-aanbod. Blijkbaar is er dan een grote vraag naar een groot gebruiksgemak.

Er moet dus nog een OS geboren worden welke alle positieve punten bundelt , en , het moet nog aanslaan bij het publiek ook !
mashell @MPAnnihilator24 november 2005 16:14
>Dat is een denkfout...

Of de waarheid ligt in het midden, het zal wel "leuker" zijn om een virus te schrijven voor een platform dat gemakkelijker te besmetten is en ook nog eens veel voorkomt.
Get!em @maxxware24 november 2005 14:51
Nod32 herkent de meeste virussen voordat er een signature is!
TheCapK @Get!em24 november 2005 21:17
De Norman sandbox heeft er ook niet echt problemen mee! Die ziet dit als dreiging en al kent ie hem niet: weg ermee!

Ik ben zelf nog verschoond geweest dus ff afkloppen!
SYQ 24 november 2005 12:48
geen fbi variant nog mogen ontvangen, wel het bekende postbank mailtje vandaag paar keer.

zostraks toch maar ff mijn familieleden op de hoogte houden van deze phising praktijken, wij tweakers mogen er dan wel "imuum" voor zijn, de mensen die puur mailen en surfen niet
BRAINLESS01 24 november 2005 13:00
Ik snap niet dat er nog steeds zo weinig bedrijven zijn die standaard hun mail op virussen scannen (voordat ze dus bij de client komen). Als iedereen dit zou doen zou een virus als deze niet eens aankomen en dus nooit kunnen verspreiden, behalve als hij net nieuw is en nog niet herkent word door virusscanners, maar dan is binnen een week het hele effect van zo'n virus ook weer weg. Zelfs de meeste hakie-takie huis-tuin en keukenservertjes draaien een virusscanner, maar bedrijven niet, weet iemand waarom dat is?
R_Rabbit10 @BRAINLESS0124 november 2005 15:21
Ik wil graag zelf bepalen wat ik in mijn inbox krijg!! Vind het van de zotte dat een bedrijf dat mijn voorkeuren niet kent voor mij gaat bepalen of ik een bepaalde e-mail wel of niet wil hebben (spam, virussen, etc). Laat dit maar lekker aan mij over!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq