Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties
Submitter: _reboot_

Een uitbraak van een nieuwe variant van de mass-mailerworm Sober heeft veertig procent van het e-mailverkeer wereldwijd in beslag genomen, zo meldt CleanPort. Gisteren om precies acht uur Nederlandse tijd begonnen de oudere wormen deze nieuwe variant massaal te verzenden. Deze nieuwe worm, Sober.X, probeert gebruikers te overtuigen dat de e-mail waar hij als bijlage meegezonden wordt van de FBI komt. De Amerikaanse organisatie zou de gebruiker hebben nagetrokken en hebben geconstateerd dat deze illegale sites bezocht. De ontvanger wordt dringend verzocht de vragenlijst in de bijlage te openen en in te vullen, waarmee hij of zij onwetend de worm activeert.

Sober.X Anti-hangoverDe FBI heeft in een persbericht laten weten dat deze e-mail absoluut niet authentiek is en dat de organisatie de zaak erg serieus neemt. Hoewel het e-mailbericht hoofdzakelijk niet op waarheid berust, heeft de bedenker van de nieuwe worm er wel aan gedacht om het echte adres en telefoonnummer van het bureau erin op te nemen, wat tot resultaat had dat een golf van telefoontjes van verontruste en gefrustreerde gebruikers het klachtencentrum van de overheidsorganisatie bezig hield. Vanwege de enorme toename van geinfecteerde computer heeft Symantec besloten de status van de worm op te schroeven naar een risico van het derde niveau. Dit is het op twee na hoogste niveau dat Symantec hanteert voor de klassificatie van de ernst van virussen en wormen.

Moderatie-faq Wijzig weergave

Reacties (78)

Ik snap 1 ding niet...

Als deze virussen allemaal een ''sober'' variant zijn, dan moet er toch een aantal overeenkomsten zijn in de broncode?

En als dit zo is zou het toch relatief eenvoudig moeten zijn voor virusscanners om deze te verwijderen?

Voorbeeld: Alle sober varianten hebben dezelfde karakters in regel...72 (noem maar wat) Dan kunnen virusscanners toch aangepast worden zodat ze zoeken in regel 72, die uitlezen, en als het bestand overeen komt met een andere soberworm verwijderen?

Mischien heb ik het ook helemaal fout, dus feedback is welkom :)
Broncode, ja. Executable code, eventueel niet.

Bovendien zitten virusschrijvers ook niet stil, en er zijn zichzelf muterende virussen die zichzelf dusdanig veranderen (blokjes code omdraaien of zo, ik weet het niet) om virusscanners om de tuin te leiden.
Echter pas als een nieuwe variant in het wild is gesignaleerd kun je pas zien of die variant diezelfde overeenkomst heeft.

Virusschrijvers kijken uiteraard naar de door de virusscanners gebruikte patronen en kunnen zodoende makkelijk een variant maken welke niet matched op dit patroon :Y)
Er zit veel overeenkomst in dit soort virussen. Veel virusscanners hebben ook gewoon generic detection waarmee ze nieuwe varianten gewoon kunnen bestrijden. Vaak maakt het ook nog uit hoe je virusscanner gevoerd wordt met spul:
2 mailservers, beide zowat dezelfde setup, echter mist mailserver nummer 2 het tooltje "unzip". Komt nieuwe Bagle variant binnen: server 1 herkent het virus niet, server 2 pakt het virus met een generic signature omdat ie de ZIPfile herkent, maar de .exe file die erin zit niet. Virusscanner op server 1 heeft nooit de ZIPfile gekregen van de content scanner, alleen de .exe die erin zat. Aangezien de virusscanner zelf ook kan unzippen, snel mailserver 1 ook maar ontdaan van dit tooltje.
Heb ook last van een drietal mailtjes met virussen
allemaal W32/Sober.AA@MM (Norman Virus Control)

* office <at> chello.nl : Registration Confirmation
* office <at> quicknet.nl : Registration Confirmation
* Admin <at> hotmail.com : Mail delivery failed

Allemaal met een zip file met virus en allemaal ontvangen op dinsdag.
Vraag me af wanneer de strafmaat eens omhoog gaat tegen deze eiqols. Je hoeft btw maar 1 slechte schakel in je emailers te hebben en je krijgt hem zelf ook want het nare is dat er adressenlijsten worden gekopieerd en dan naar een ieder doorstuurd, mjah, dan gaat het snel.

Maar de strafmaat moet eens drastisch omhoog, tot die tijd blijf je dit soort dingen houden en komen we er nooit vanaf. Je kan het internet redelijk beheren, maar met iemand met een laptop en een "gevonden" mobieltje ben je gewoon nergens. Als je ze dan al pakt, mjah, dan geen taakstraffen of banen aanbieden heh, dat stimuleert ze alleen maar |:(
ik ben blij dat xs4all deze zooi er al uit filter voor het op onze eigen mailserver aankomt. lekker rustig. denk dat we zolang we die server draaien, nog geen enkel virus-mailtje hebben ontvangen.

uiteraard wel nog af en toe hoax-mailtjes die doorgestuurd werd door onze contacten. :S

en soam wordt ook allemaal door xs4all gefilterd.
dat is echter nog niet 100% waterdicht.
Mhh ik heb er nog geen last van gehad, klanten ook nog niks gehoord van 'gekke mailtjes van de FBI'. Sowieso een beetje ongeloofwaardig dat de FBI gaat e-maillen die komen wel langs als ze je echt nodig hebben!
Sowieso een beetje ongeloofwaardig dat de FBI gaat e-maillen die komen wel langs als ze je echt nodig hebben!
Dat weet jij, dat weet ik. Maar een argeloze gebruiker die naief genoeg is om te denken dat het mailtje echt van de FBI komt, die weet dat niet. En de grootte van die groep mensen is niet te onderschatten.

Of een executable met de naam "pamela_anderson_nude.jpg.exe", moet jij eens opletten hoeveel HNG's (die de extensie .exe niet zien want dat staat standaard uit) dat toch openen...
Inderdaad.
Suggestie voor Vista: Extenties altijd laten zien.
is sober een email virus dat alleen op microsoft windows werkt of zijn ander systemen (unix, linux, mac os x) ook kwetsbaar voor sober?
Volgens TrendMicro zijn de virussen w32, dit houd in dat het virussen zijn voor 32bits windows varianten.
De logische aanname, die je imho dan mag doen, is dan dat het niet geld voor *nix varianten of MacOs.
Ik krijg al sinds dinsdag een sterk verhoogde hoeveelheid mailtjes met deze inhoud, niet pas sinds gisteren acht uur...
Inderdaad. Sterker nog: ik dacht eerst dat NOD32 over de zeik gegaan was zoveel kreeg ik er binnen. Achteraf blijkt het toch te kloppen.

Gelukkig helpt @Home een handje, de internetverbinding in Emmen ligt al twee dagen plat, geef de virussen geen kans! :D

Grappig feit dat zoveel mensen de FBI gaan bellen. Ik ga er maar vanuit dat 100% daarvan Amerikaan is. Kan me niet voorstellen dat we in Europa dom genoeg zijn om hier in te trappen...
Wees blij dat NOD32 in ieder geval het virus herkend. Ik heb al van verschillende Norton gebruikers gehoord dat die het virus gewoon binnenliet.
Klopt inderdaad. Dinsdag ochtend kreeg ik het eerste ( en ook gelukkig de enige) besmette systeem binnen.

Symantec heeft echter wel dinsdag avond een update uitgebracht dat ie wel erkend word.
Wees blij dat NOD32 in ieder geval het virus herkend. Ik heb al van verschillende Norton gebruikers gehoord dat die het virus gewoon binnenliet.
Dat is dus inderdaad de reden dat ik NOD32 van ESET gebruik. Dit is de enige AV oplossing die nog altijd een 100% score op de detectie van virussen "in het wild" heeft. Qua virusdetectie is er dus bewezen geen betere.

Nu moet ik wel zeggen dat je eigenlijk geen virusscanner nodig zou moeten zijn voor dit soort simpele dingen. Een goede e-mail client en een oplettende gebruiker en het probleem bestaat niet eens.

Mensen zouden verplicht een computercursus moeten krijgen, scheelt de staat en het bedrijfsleven een hoop geld en zorgen!
15 november meldde de Exchange versie van NOD32 een onbekende variant van de Sober worm. De software vroeg of ik dit virus wilde versturen naar NOD32. Dit ook gedaan. Geen idee of dit de X variant betrof. Even gekeken op de NOD32 site: 15 november is de X-variant toegevoegd aan de database. De Y variant is 3 dagen later toegevoegd.
Heel mooi. Nog 1 tje en het sober alfabet is vol en zijn we er van af!
Nee hoor! Dan beginnen ze gewoon met AA variant, kunnen er weer 26 A-varianten komen en dan gaan ze door op de B variant etc!
en een hoop werkgelegenheid :+
Mensen zouden verplicht een computercursus moeten krijgen, scheelt de staat en het bedrijfsleven een hoop geld en zorgen!
Als je kijkt naar de cursus die de meeste mensen met goed gevolg hebben afgelegd, het rijexamen dus, dan zou ik die conclusie niet willen trekken... 99% van thuisgebruikers wil alleen maar msn-en, en trekt zich geen bal aan van welke computerveiligheid dan ook.....

...totdat ze een keer de portomonee moeten trekken om hun computerje weer schoon te krijgen.
Grappig feit dat zoveel mensen de FBI gaan bellen. Ik ga er maar vanuit dat 100% daarvan Amerikaan is. Kan me niet voorstellen dat we in Europa dom genoeg zijn om hier in te trappen...
doe eens wat aan je inlevingsvermogen zou ik zeggen. De VS heeft geen patent op domme inwoners.. Sterker nog, ik denk dat je aan deze kant van de plas veel meer computerleken tegen komt dan aan de overkant.
mja.. ik nu ook al 2 dagen (ongeveer 100 mailtjes denk ik so far..) wordt er een beetje moe van. en symantec had t risiconiveau gisterochtend al op 3 staan.. beetje jammer dat dit nieuws zo vertraagd hier aankomt dus :P

edit: ik zie dat er ondertussen een nieuw mailtje uit is..

"hi, ive a new mail address

hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...
cyaaaaaaa"
Idd, ik wordt er ziek van van al die stomme emailtjes, en het zijn er ook niet een paar :(
Toto nu toe tegengekomen, die van de FBI en CIA (your ip address has been logged), en idd, dat mailtje van 'Hi i have a new maildres' of en zo'n namaak mailtje van smtp_deliviry_failure -
This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!
----
deze heeft volgens de virusscanner van chello: virus W32/Sober@MM!M681

Ik weet niet precies wat er aan de hand is, maar mn hotmailbopx ontvangt er wel een stuk of 20, en mijn eigen mailserver ook zoiets... wordt er wel ziek van !!!
Dat nieuwe mailtje is Sober.CF, niet Sober.X (Volgens AVG althans).
ah.. kaspersky noemt het sober.y.. dus je blijft bezig met die namen :P
Ik ontvang zo een 30 mailtjes per dag met deze rommel, en dat al sinds dit weekend. Vrij irritant. Nou maar hopen dat er geen mensen zijn die het verhaal ook nog geloven.

Tsja, de wereld is raar |:(
Wat ik niet snap dat mcafee bv sinds de update van gisteren dit virus kent....
ben je mooi een dag of twee kwetsbaar.

we draaien surfcontrole , en die heeft meerder scan engine , pakt de ene het niet dan de andere wel.
exe en zip met ex of vsb worden zo wie zo wel gebounched
Is dit de gezipte "1.exe" met het icoontje van een jpg? Mijn virusscanner kon me namelijk niet vertellen welk virus dit was.

-edit- na 2 uur wachten en updaten zegt mijn virusscanner dat het gaat om 'Trojan-Downloader.Win32.Bagle.d' is dit ook een sober variant? ik heb er nu al 3 binnen..
Ziedaar het drama van virusscanners. Ze kunnen pas een virus vinden als deze voorkomt in hun signature-database.
Een virusscanner doet z'n werk pas als het virus binnen is, en dan alleen als het stukje malware als virus herkend wordt.
Daarom is een virusscanner ook niet afdoende, maar zul je (om echt geen last van virussen te hebben) naar een OS moeten overstappen dat niet zo gebouwd is dat het concept 'virus' er niet voorkomt.
Niet correct vind ik. Wormen maken meestal gebruik van ontdekte lekken in een OS. Mijn inziens kunnen er net zogoed wormen geschreven worden voor Linux of Mac.

Alleen voor de makers van malafide software is het Windows platform aanlokkelijker omdat er gewoon meer gebruikers van zijn.

De vinger moet dus gewoon naar de eindgebruiker gelegd worden in dit geval. Dat Windows wbt opbouw en structuur misschien er meer vatbaar voor is, dat kan zijn. Daarvoor ken ik Linux niet goed genoeg. Maar ik slaag er persoonlijk dan de laatste jaren toch al in Virusvrij/probleemvrij te blijven zonder virusscanner of spywarescanner. Gewoon een aantal basisregels in acht nemen en er hoeft met een goed gepatchte Windows pc echt niets gevreesd te worden.
Wormen maken meestal gebruik van ontdekte lekken in een OS. Mijn inziens kunnen er net zogoed wormen geschreven worden voor Linux of Mac.

Klopt. Maar om een worm in MacOS, Linux of *BSD te kunnen injecteren moet dat gebeuren via een account met veel rechten en via een lek in een proces dat draait onder dit user-account. En dat is bij MacOS, Linux of *BSD beter afgeschermd dan bij Windows. Onder Windows kun je allen 'gemakkelijk' werken als je power user of administrator bent.

Alleen voor de makers van malafide software is het Windows platform aanlokkelijker omdat er gewoon meer gebruikers van zijn.

Dat is een denkfout. De reden waarom er zo veel virussen geschreven worden Windows is omdat Windows gebruiksgemak boven beveiliging heeft gesteld.
>Dat is een denkfout...

Of de waarheid ligt in het midden, het zal wel "leuker" zijn om een virus te schrijven voor een platform dat gemakkelijker te besmetten is en ook nog eens veel voorkomt.
En had Microsoft veiligheid gekozen , boven gebruiksgemak , dan hadden ze nooit zo groot en machtig geworden. Het is vraag-aanbod. Blijkbaar is er dan een grote vraag naar een groot gebruiksgemak.

Er moet dus nog een OS geboren worden welke alle positieve punten bundelt , en , het moet nog aanslaan bij het publiek ook !
Nod32 herkent de meeste virussen voordat er een signature is!
De Norman sandbox heeft er ook niet echt problemen mee! Die ziet dit als dreiging en al kent ie hem niet: weg ermee!

Ik ben zelf nog verschoond geweest dus ff afkloppen!
geen fbi variant nog mogen ontvangen, wel het bekende postbank mailtje vandaag paar keer.

zostraks toch maar ff mijn familieleden op de hoogte houden van deze phising praktijken, wij tweakers mogen er dan wel "imuum" voor zijn, de mensen die puur mailen en surfen niet
Ik snap niet dat er nog steeds zo weinig bedrijven zijn die standaard hun mail op virussen scannen (voordat ze dus bij de client komen). Als iedereen dit zou doen zou een virus als deze niet eens aankomen en dus nooit kunnen verspreiden, behalve als hij net nieuw is en nog niet herkent word door virusscanners, maar dan is binnen een week het hele effect van zo'n virus ook weer weg. Zelfs de meeste hakie-takie huis-tuin en keukenservertjes draaien een virusscanner, maar bedrijven niet, weet iemand waarom dat is?
Ik wil graag zelf bepalen wat ik in mijn inbox krijg!! Vind het van de zotte dat een bedrijf dat mijn voorkeuren niet kent voor mij gaat bepalen of ik een bepaalde e-mail wel of niet wil hebben (spam, virussen, etc). Laat dit maar lekker aan mij over!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True