Anti-virusproducent kraakt url-code Sober-virus

Mikko Hypponen, leidinggevend onderzoeker van F-Secure, heeft in zijn blog geschreven dat het bedrijf er achter is gekomen hoe het Sober-virus aan zijn updates komt. Het was al een tijd bekend dat de malware code bevat die vanaf een bepaalde datum op speciale url's zoekt naar een update, maar het achterhalen van het algoritme achter de wisselende websites liet tot mei dit jaar op zich wachten. De reden dat het bedrijf nu pas publiek gaat met de vondst was dat er gevreesd werd dat de virusschrijver zijn algoritme zou aanpassen en zo alsnog de doorbraak in de zaak teniet zou doen. Wel zijn de Duitse overheid en de betrokken ISP's geïnformeerd over de werkwijze van het programma.

Computer virusHet algoritme is gebaseerd op de datum waarop het virus kijkt naar updates. Per twee weken genereert het een aantal urls die vervolgens periodiek worden gecontroleerd op updates. Meestal bestaan de websites niet en in dat geval blijft het virus in rust tot de volgende check. De bedenker van het virus kan vervolgens uitrekenen op welke dag welke websites worden bezocht, en op één daarvan een update plaatsen. Zodra die dag langskomt, zullen alle geïnfecteerde computers massaal de lijst met sites afgaan en vanzelf de nieuwe code aantreffen en gaan toepassen. Volgens iDefense zal de eerste controle op 5 januari vallen, de dag waarop 87 jaar geleden de eerste Nazi-partij werd opgericht. De dag daarna zal meteen de reeks urls worden aangepast, als begin van het interval van 14 dagen. In de geschiedenis is Sober nogal eens gebruikt door rechtsextremistische partijen om hun propaganda te verspreiden. De voorgaande data waarop het virus actief werd vielen ook samen met belangrijke gebeurtenissen in het verleden van de fascistische wereld.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 10-12-2005 11:32 31

10-12-2005 • 11:32

31

Lees meer

'Botnettrojan Storm steekt Sober naar de kroon'
'Botnettrojan Storm steekt Sober naar de kroon' Nieuws van 15 augustus 2007
Anti-virusproducent waarschuwt voor eigen product
Anti-virusproducent waarschuwt voor eigen product Nieuws van 20 januari 2006
Opnieuw uitbraak van Sober-variant
Opnieuw uitbraak van Sober-variant Nieuws van 24 november 2005
Sober.Q start massale spamcampagne
Sober.Q start massale spamcampagne Nieuws van 17 mei 2005
Verspreiding worm Sober.P plotseling stilgelegd - Update
Verspreiding worm Sober.P plotseling stilgelegd - Update Nieuws van 14 mei 2005
Traditionele worm verdwijnt uit viruslandschap
Traditionele worm verdwijnt uit viruslandschap Nieuws van 19 maart 2005
Top-10 virussen februari bevat voornamelijk oudere soorten
Top-10 virussen februari bevat voornamelijk oudere soorten Nieuws van 2 maart 2005
Netsky blijft virus top tien van Sophos aanvoeren
Netsky blijft virus top tien van Sophos aanvoeren Nieuws van 3 december 2004
Nederland bedolven onder Duitstalige spam - Update
Nederland bedolven onder Duitstalige spam - Update Nieuws van 11 juni 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (31)

-Moderatie-faq
31
30
17
3
1
2
Wijzig sortering
Verwijderd 10 december 2005 11:40
Het klinkt cru maar chappoo voor de virusschrijver.
Die gaat wellicht een grote toekomst tegemoet.
MindBender @Verwijderd10 december 2005 12:10
Zucht, daar gaan we weer:
Dat jij hiervan onder de indruk bent, zegt meer over jou dan over de technische kwaliteiten van deze script kiddies.

Een virus schrijven is niet moeilijk, zelfs niet met updater en encryptie. Een lokale sigarenboer overvallen is ook niet moeilijk. Van allen mensen die dit kunnen zijn er maar weinig mensen die het ook doen.
Da_Teach @MindBender10 december 2005 12:29
Ik vraag me af of het wat zegt over zijn kunnen of over jouw inschattings vermogen. Hoewel met een virus niks goeds wordt gedaan zijn somige ervan een behoorlijk stuk aan programeer werk.

Een anti-virus bedrijf met hun reverse-engineers kan je niet makkelijk een aantal maanden bezig houden, zeker een "script kiddy" niet. Deze komen vaak niet verder dan een vbs'je of het aanpassen van een bestaande rootkit.

Je hoeft het niet te waarderen wat die persoon gemaakt heeft, maar het is zeker geen script kiddy werk. En ik weet zeker dat niet 'zoveel' mensen dit daadwerkelijk ook kunnen.
Depress @Verwijderd10 december 2005 11:42
Jah, hij mag zijn mede gevangene vertellen hoe hij het gebouwd heeft... achter de tralies :+
un1ty @Depress10 december 2005 11:46
Hij krijgt waarschijnlijk een leuk baantje bij een anti-virus bedrijf.
met een leuk salaris, en zijn borgsom o.i.d. zal ook voor hem betaald worden

(edit; lang zal hij iniedergeval niet zitten)
arjankoole
@un1ty10 december 2005 13:26
Hij krijgt waarschijnlijk een leuk baantje bij een anti-virus bedrijf.
Ik denk niet dat er veel anti-virus bedrijven iemand willen aannemen waarvan bekend is dat hij verantwoordelijk is voor Nazi-achtige spam. Ook gezien het feit dat de schrijver nazi-sentimenten heeft (de update vind plaatst op de verjaardag van de opriching van de eerste Nazi-partij - geen bijzondere leap of imaginition) denk ik niet dat de schrijver in kwestie op steun uit die hoek mag rekenen.
(edit; lang zal hij iniedergeval niet zitten)
Nou... in theorie kan het zijn dat er uitlevering wordt gevraagd door bijvoorbeeld Amerika, omdat hij in dat land grote economische schade heeft aangericht. En we weten allemaal hoe Amerika denkt over Nazi's.

Stel: de persoon in kwestie is duits of oosterijks (de landen waar het Nazi-dom dan wel begonnen is, dan wel nog steeds volgelingen heeft - en de taal van de nazi-spam was ook duits), dan wordt hij aangeklaagt (en hopelijk veroordeeld) op meerdere punten.

- moedwillig schrijven van code die computer security probeert te omzeilen
- het verspreiden van racisme / verheerlijken van racisme
- lidmaatschap van een criminele organisatie (als bewezen dat hij/zij een Nazi is).

Dat komt je op niet al te frisse straffen te staan. Als Amerika vervolgens om uitlevering vraagt voor berechting daar, en dat is *heel* goed mogelijk, dan wacht hem/haar daar nog eens een hele leuke straf.
Gromba 10 december 2005 11:42
Right now, none of these URLs exist. If they are to be used, the virus writer will register them just before the activation.
Kunnen ze niet freewebs & arcor lief aankijken en zorgen dat ze niet geactiveerd worden? :)
un1ty @Gromba10 december 2005 11:45
ze staan al gereserveerd voor de schrijver.
als de host even meewerkt dan kan die helpen de gegevens door te geven (naam+mail+ip e.d.) van die persoon.
vergelijk de lijsten
en een naam zal blijven vallen.


ps. wat heeft 5 januari 1918 er mee te maken?
hebben we nou meteen vooroordelen over het virus schrijver dat hij een rascist is?
Verwijderd @un1ty10 december 2005 14:02
Hoe willen ze dat doen als hij het op een openbare pc lanceerd? Als het echt een pro is, komen wij nooit achter zijn IP/Adres.
arjankoole
@Verwijderd10 december 2005 15:53
Hoe willen ze dat doen als hij het op een openbare pc lanceerd? Als het echt een pro is, komen wij nooit achter zijn IP/Adres.
Simpel: oren en ogen open houden. Vroeg of laat maakt zo iemand altijd een fout. Bij conventionele criminelen noemen ze dat ook wel ' going blabby', en aangezien virusschrijvers soms ook regelrechte opscheppers zijn is het goed mogelijk dat op die manier jusitie erachter komt wie het zou kunnen zijn. Vervolgens is het een kwestie van in de gaten houden.
Flipmo2K @un1ty10 december 2005 11:53
Op 5 januari 2005 is ook de doodsoorzaak van Toetanchamon ontdekt, aldus WikiPedia.

Misschien wilde de virusschrijver wel niet dat dit ontdekt werd...

Oftewel: 't is inderdaad wel erg insinuerend.
Verwijderd @Flipmo2K10 december 2005 13:26
De virusmaker kan natuurlijk ook een groot Lingo fan zijn....


1989 - De eerste uitzending van het tv-spelletje Lingo. Presentator is Robert ten Brink.
NickyVermeersch @Flipmo2K10 december 2005 22:54
Of de Russiche Revolutie

http://home.hccnet.nl/e.p.binnendijk/H3.htm
_Zedd_ @un1ty10 december 2005 11:57
FSecure:
Last thing: Several earlier Sober variants (most notably Sober.Q) have been sending out neonazi propaganda messages. According to iDefense, the activation date of January 5th is an anniversary date for the nazi party.
hebben we nou meteen vooroordelen over het virus schrijver dat hij een rascist is?
Lijkt er dus wel op!
CherandarGuard @_Zedd_10 december 2005 12:42
Maar dat stukje tekst, dat dat feitje over 5 januari relevant maakt, staat niet in deze nieuwspost. In deze nieuwspost is dat feitje dus niet relevant en un1ty's opmerking is dus volkomen begrijpelijk.
Verwijderd @un1ty10 december 2005 11:56
sober is al eerder gebruikt om nazi-spam te versturen (meerdere malen geloof ik)
Verwijderd 12 december 2005 08:55
ja tuurlijk controleer even elke server op het internet of er toevallig die dag veel data op word verstookt, doe je ongeveer maar 300 jaar over om die gegevens te analyseren ;)
Verwijderd 10 december 2005 11:58
Wikipedia:

January 5 is the 5th day of the year in the Gregorian calendar. 360 days (361 in leap years) remain in the year after this day.

Hmmm.... klinkt ook niet best
familyman @Verwijderd10 december 2005 13:32
Bedoel je te zeggen dat de cirkel daarmee rond is? (behalve in schrikkeljaren)
i-chat @familyman10 december 2005 13:46
of heeft 't iets met xboxen te maken :+
TheOneLLama @Verwijderd10 december 2005 17:13
Dat vind ik nou echt beledigend en suggestief. Misschien gebruikt de maker helemaal geen Gregoriaanse kalender maar bv de chinese. Of zelf eentje die helemaal niet in zonnejaren telt.
Patriot @Verwijderd10 december 2005 12:21
Wat is daar mis mee? Dat is toch logisch..?
JvW @Verwijderd10 december 2005 12:40
Precies... De Gregoriaanse kalender. :?

Volgens mij is dat onze eigen kalender. Ik snap niet zo goed waarom je dat nu aanhaalt. Heeft weinig te maken met het onderwerp. |:(

Of was het een grapje?

Hoe dan ook... Ik hoop dat met deze informatie kan worden voorkomen dat er straks toch weer van alles gaat gebeuren met SOBER. Al weet ik niet precies hoe de schrijver deze updates moet gaan realiseren aangezien hij is opgepakt.
Pietervs
@JvW10 december 2005 13:14
Al weet ik niet precies hoe de schrijver deze updates moet gaan realiseren aangezien hij is opgepakt.
Je weet niet hoeveel vriendjes/bewonderaars hij heeft die het voor hem over willen nemen...
Verwijderd 10 december 2005 13:00
Nu de virusschrijver dit ook weet, gaat hij geen update plaatsen.
In plaats van te kijken wie er een update plaatst, zelf een update op de site plaatsen die alle geinfecteerde pc's vrijmaakt van deze rotzooi.

ps. chapeua voor de innovatieve insteek, ik geloof niet dat er eerder een virus was die op deze manier update's binnenhaalde.
SPee @Verwijderd10 december 2005 13:21
Nee. Die gaat als de bliksem het land uit. (als ie al niet in de cel zit).
Hij heeft zijn naam geregistreerd om die domeinen te krijgen. Dus hij is nu bekend.

OF hij lacht zich nu te pletter omdat hij een gejatte identiteit gebruikte, die nu opgepakt gaat worden.
Verwijderd 10 december 2005 16:44
Wikipedia:

January 5 is the 5th day of the year in the Gregorian calendar. 360 days (361 in leap years) remain in the year after this day.

Hmmm.... klinkt ook niet best
moeten we maar snel veranderen dan..dat er nog 360 dagen overblijven na 5 januari...misschien is het beter als er 360 dagen over blijven na...17 augustus?
Wie zal het zeggen.


Kortom, klinkt me gewoon als waarheid in de oren, mij best :)
Ventieldopje 11 december 2005 11:35
Als die hosts nou een beetje slim zijn kijken ze gewoon op de belangrijke dagen uit de geschiedenis of er ineens veel bandbreedte gebruikt wordt en de volgende dag niet meer dan is het bijna zeker dat daar bestanden van het sober virus op gehost worden :*). Tjakka ... gegevens pakken en aangeven bij de pliesie }>.
Verwijderd 12 december 2005 18:34
heheheh jha misschien kun je zwe even helpen |:(
froggie 10 december 2005 11:57
Ik moet toch zeggen dat ik deze methode van updaten best inventief vind. Wellicht dat updaten via een p2p netwerk en nog betere en gemakkelijker methode is (voor de virusschrijver). Maar goed, laten we geen mensen op ideeen brengen :z

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq