Προς το περιεχόμενο

Προσοχή στον Sobig


login

Προτεινόμενες αναρτήσεις

Εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου μόλυνε μέσα σε λίγα εικοσιτετράωρα ο Sobig, ο πλέον γρήγορα διαδεδομένος ιός.

 

 

Ο Sobig ενεργοποιείται με το άνοιγμα ενός αρχείου που έρχεται συνημμένο σε ένα e-mail και το οποίο ξεγελάει του χρήστες, δίνοντάς τους την εντύπωση ότι πρόκειται για ένα αρχείο προστασίας οθόνης ή ρυθμίσεων.

 

Ο ιός επιχειρεί να παγιδεύσει τους χρήστες αλλάζοντας τακτικά την περιγραφή στο θέμα του ηλεκτρονικού μηνύματος και το όνομα του συνημμένου αρχείου.

 

Όσοι μολύνονται από τον ιό, λαμβάνουν αρκετά αντίγραφά του, με μηνύματα που μοιάζουν μεταξύ τους. Ο ιός μεταφέρεται μέσω ηλεκτρονικού μηνύματος που ο ίδιος δημιουργεί και διαδίδεται πολύ γρήγορα επειδή είναι δύσκολο για τους χρήστες του Internet να είναι σίγουροι ότι έχουν μολυνθεί.

 

 

Ο ιός, σύμφωνα με τους ειδικούς, μάλλον δημιουργήθηκε από άτομα που ήθελαν να «στρατολογήσουν» μηχανήματα ανυποψίαστων χρηστών, ώστε αυτά να λειτουργήσουν ως ακούσιοι αναμεταδότες των μηνυμάτων τους, σημειώνει το BBC.

 

 

 

 

Ο κολοσσός του Internet, AOL, ανακοίνωσε ότι έχει μπλοκάρει περίπου 11,5 εκατομμύρια αντίγραφα του Sobig από τις 18 Αυγούστου, όποτε πρωτοεμφανίστηκε ο ιός στο Διαδίκτυο.

 

 

Από την πλευρά της η εταιρεία ασφάλειας του Διαδικτύου, MessageLabs, επισημαίνει το γεγονός ότι ένα στα 17 μηνύματα που «φίλτραρε» ήταν μολυσμένο από τον ιό.

 

 

Ο μοναδικός ιός μέχρι σήμερα που πλησιάζει αυτή την ταχύτητα διάδοσης ήταν ο LoveBug, ο οποίος είχε μολύνει το 2000 ένα στα 28 μηνύματα ηλεκτρονικού ταχυδρομείου.

(in.gr)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Τεράστια εξάπλωση παρουσιάζει το worm Sobig από το μεσημέρι της Τρίτης 19 Αυγούστου (ώρα Ελλάδας) σε πάρα πολλές χώρες. Ο ιός W32/Sobig.F-mm προτοεντοπίστηκε στις 18 Αυγούστου στις Ηνωμένες Πολιτείες, και μέσα σε 24 ώρες εξαπλώθηκε σε 67 χώρες με πρώτες τη Μεγάλη Βρετανία, τη Νορβηγία και την Ολλανδία.

 

To worm W32.Sobig.F@mm διαθέτει τη δικιά του μηχανή SMTP και στέλνει τον εαυτό του σε όλες τις διευθύνσεις που θα εντοπίσει στα αρχεία του μολυσμένου υπολογιστή που έχουν ένα από τα παρακάτω επιθέματα:

 

.dbx

.eml

.hlp

.htm

.html

.mht

.wab

.txt

Αποστολέας του μηνύματος εμφανίζεται κάποια από τις διευθύνσεις που θα βρεί στα παραπάνω αρχεία και Το θέμα του μηνύματος είναι ένα από τα παρακάτω:

 

Re: Details

Re: Approved

Re: Re: My details

Re: Thank you!

Re: That movie

Re: Wicked screensaver

Re: Your application

Thank you!

Your details

Το κυρίως μήνυμα:

 

See the attached file for details

Please see the attached file for details.

Και το συνημμένο αρχείο, έχει ένα από τα παρακάτω ονόματα:

 

application.zip (contains application.pif)

details.zip (contains details.pif)

document_9446.zip (contains document_9446.pif)

document_all.zip (contains document_all.pif)

movie0045.zip (contains movie0045.pif)

thank_you.zip (contains thank_you.pif)

your_details.zip (contains your_details.pif)

your_document.zip (contains your_document.pif)

wicked_scr.zip (contains wicked_scr.scr)

Το εν λόγω worm επηρεάζει τους υπολογιστές που διαθέτουν σχεδόν οποιαδήποτε έκδοση των Windows (Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT και Windows XP), ενώ δεν επηρεάζει υπολογιστές με λειτουργικό σύστημα Linux, Macintosh, OS/2, UNIX ή Windows 3.x

 

Οταν ενεργοποιηθεί, αντιγράφει τον εαυτό του στο directory των Windows με το όνομα winppr32.exe και δημιουργεί το αρχείο winsst32.dat στο ίδιο directory. Επίσης προσθέτει την τιμή TrayX=%Windir%\winppr32.exe /sinc στo πεδίο HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run της Registry ώστε να εκτελείται αυτόματα σε κάθε εκκίνηση του υπολογιστή.

 

Οπως και οι προκάτοχοί του, το worm Sobig.F θα απενεργοποιηθεί αυτόματα στις 10 Σεπτεμβρίου.

 

Οι εταιρείες κατασκευής προγραμμάτων κατά των ιών προτρέπουν τους χρήστες να ενημερώσουν άμεσα το λογισμικό τους.

 

 

(flash.gr)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Περαιτέρω μαζική εξάπλωση του Sobig, του πιο γρήγορου ιού όλων των εποχών, κατόρθωσαν να αποτρέψουν ειδικοί σε θέματα ασφαλείας υπολογιστών, θέτοντας προσωρινά εκτός λειτουργίας 20 διακομιστές που χρησιμοποιούνταν για τη διάδοση μολυσμένων e-mail.

 

Συγκεκριμένα, ειδικοί κατόρθωσαν να μπλοκάρουν την κυκλοφορία του ιού, αναγνωρίζοντας και επιδιορθώνοντας 20 servers σε ΗΠΑ, Καναδά και Νότιο Κορέα, οι οποίοι χρησιμοποιούνταν για τη διάδοση μηνυμάτων ηλεκτρονικού ταχυδρομείου που μετέφεραν παγκοσμίως τον συγκεκριμένο ιό.

 

Κατά τα όσα επισημαίνει το BBC, οι αρχικοί φόβοι ότι στον κωδικό του «σκουληκιού» υπήρχε εντολή να οδηγηθούν από τις 22:00 της Παρασκευής και έως τη 01:00 του Σαββάτου (ώρα Ελλάδος) όλοι οι υπολογιστές «θύματα» του ιού σε διακομιστές, τους οποίους ήλεγχε ο «εμπνευστής» του Sobig, αποδείχθηκαν τελικώς μερικώς αβάσιμοι. Η σχετική εντολή είχε ως αποτέλεσμα ορισμένοι εκ των «μολυσμένων» υπολογιστών να οδηγηθούν σε δικτυακούς τόπους με πορνογραφικό περιεχόμενο.

 

Αντίστοιχη εντολή ισχύει για τις ίδιες ώρες τις Κυριακής προς ξημερώματα Δευτέρας, εντούτοις η ανησυχίες για περαιτέρω μαζική επίθεση του ιού έχουν πλέον κατά πολύ μετριαστεί. «Οι διαχειριστές συστημάτων είναι ήδη ενήμεροι πως το συγκεκριμένο διάστημα πρέπει να μπλοκάρουν τους server στους οποίους πρόκειται να στραφεί ο ιός» επισημαίνουν ειδικοί της Internet Security Systems που εδρεύει στις ΗΠΑ.

 

Συνεπώς, ως όλα δείχνουν ο Sobig τίθεται υπό περιορισμό και οι ειδικοί επισημαίνουν πως η... κυκλοφορία στο Διαδίκτυο αρχίζει να διεξάγεται πλέον σταδιακά δίχως προβλήματα. Ο πιο γρήγορος διαδιδόμενος ιός όλων των εποχών πρόλαβε, πάντως, να μολύνει μέσα σε λίγα μόνο εικοσιτετράωρα εκατομμύρια μηνύματα ηλεκτρονικού ταχυδρομείου παγκοσμίως. Μεγάλο ήταν το πλήγμα για την Κίνα, όπου βάσει εκτιμήσεων μολύνθηκε το 30% όλων των υπολογιστών στη χώρα.

 

Και δεδομένου ότι ο Sobig δεν έχει ακόμη εξουδετερωθεί πλήρως υπενθυμίζεται ότι ο ιός ενεργοποιείται με το άνοιγμα ενός αρχείου που έρχεται συνημμένο σε e-mail και το οποίο ξεγελάει του χρήστες, δίνοντάς τους την εντύπωση ότι πρόκειται για ένα αρχείο προστασίας οθόνης ή ρυθμίσεων.

 

Ο ιός επιχειρεί να παγιδεύσει τους χρήστες αλλάζοντας τακτικά την περιγραφή στο θέμα του ηλεκτρονικού μηνύματος και το όνομα του συνημμένου αρχείου. Πιθανότατα το «σκουλήκι» δημιουργήθηκε από άτομα που ήθελαν να «στρατολογήσουν» μηχανήματα ανυποψίαστων χρηστών, ώστε αυτά να λειτουργήσουν ως ακούσιοι αναμεταδότες των μηνυμάτων τους.

 

Ο κολοσσός του Internet, AOL, ανακοίνωσε ότι έως την Παρασκευή είχε μπλοκάρει περίπου 23 εκατομμύρια αντίγραφα του Sobig, ο οποίος πρωτοεμφανίστηκε στο Διαδίκτυο στις 18 Αυγούστου.

(in.gr)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Η Inter Engineering και F-Secure ανακοίνωσαν την κυκλοφορία ενός νέου Worm για δίκτυα Windows, με όνομα Welchi ή Nachi. To Worm μοιάζει με το Lovsan ή Blaster worm, το οποίο παρουσιάζει τεράστια εξάπλωση στο Internet την τελευταία εβδομάδα.

 

Ο Welchi εκμεταλλεύεται την ίδια ευαισθησία ασφάλειας RPC για να μολύνει μηχανήματα, αλλά μολύνει μόνο μηχανήματα με το λειτουργικό σύστημα Windows XP. Ο Welchi όμως προσπαθεί επίσης να μολύνει web servers που τρέχουν το Microsoft IIS 5.0, εκμεταλλεύοντας την ευαισθησία WebDav που ανακαλύφθηκε τον Μάρτιο του 2003.

 

Ο Welchi είναι φανερά πιο προχωρημένος από τον σχετικά απλό Worm Lovsan. Πιο συγκεκριμένα διαθέτει τρία χαρακτηριστικά που το κάνουν ενδιαφέρον:

 

1) Welchi Εξουδετερώνει τον Lovsan.A.

 

Επειδή αυτό το νέο worm χρησιμοποιεί την ίδια μέθοδο μόλυνσης με τον Lovsan, θα καταλήξει προφανώς σε μηχανήματα που έχουν ήδη μολυνθεί με τον Lovsan. O Welchi αφαιρεί αυτή την μόλυνση.

 

2) Ο Welchi εγκαθιστά την Microsoft RPC επιδιόρθωση ασφάλειας

 

Μετά από την μόλυνση ενός μηχανήματος, το Worm επιχειρεί να περάσει την επιδιόρθωση ασφάλειας της Microsoft που κλείνει την RPC τρύπα. Προσπαθεί να κατεβάσει την επιδιόρθωση από το web site της Microsoft. Επειδή η επιδιόρθωση διαφέρει για τις διάφορες μεταγλωττισμένες εκδόσεις των Windows, το Worm ελέγχει την τοπική γλώσσα και εφαρμόζει την κατάλληλη επιδιόρθωση για τις Αγγλικές, Κορεάτικες, Κινέζικες και Απλουστευμένα Κινέζικες εκδόσεις των Windows.

 

3) O Welchi πεθαίνει

 

Αυτό το Worm περιέχει μία ενσωματωποιημένη ημερομηνία λήξης. Μετά την 1η Ιανουαρίου 2004, το worm απεγκαθιστά και αφαιρεί τον εαυτό του από μολυσμένα συστήματα. Οι χρήστες μπορούν να εκμεταλλευτούν το χαρακτηριστικό αυτό για εύκολη αφαίρεση του worm αλλάζοντας την ημερομηνία συστήματος σε 2004 και επανεκκινώντας το σύστημα. Υστερα η ημερομηνία μπορεί να διορθωθεί πάλι.

 

Το Welchi worm περιέχει τα ακόλουθα κρυφά κείμενα:

 

I love my wife & baby :)

 

~~~ Welcome Chian~~~

 

Notice: 2004 will remove myself:)

 

~~ sorry zhongli~~~

 

Μια λεπτομερής τεχνική περιγραφή του worm είναι διαθέσιμη στη βάση δεδομένων περιγραφών ιών της F-Secure στη διεύθυνση: http://www.f-secure.com/v-descs/welchi.shtml

 

(flash.gr)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Αρχειοθετημένο

Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.

  • Δημιουργία νέου...