Så stor

Sobig er en datamask som smittet millioner av datamaskiner i august 2003 . Han brukte deretter en feil som var til stede i alle Windows- operativsystemene etter Windows 95 fra Microsoft .

Selv om noen få tester fant sted på ormen så tidlig som i august 2002 , var det i januar 2003 at det første utseendet var under navnet Sobig.A . Han ble deretter fulgt av Sobig.B iMai 2003. Denne versjonen ble først kalt Palyh , men kort tid etter oppdaget sikkerhetseksperter at det var en evolusjon av Sobig og omdøpt den. Viste seg på slutten av samme måned, ble den tredje Sobig.C- versjonen nøytralisert av den samme antivirale oppdateringen som Sobig.B . Sobig.D ankom noen uker senere, fulgt umiddelbart av Sobig.E . Endelig ankom den mest berømte av alle versjonene, Sobig.F, som var den virkelige årsaken til epidemien.

Sobig er en datamask i den forstand at den replikerer seg selv via e-post. Den har sin egen e- postserver og krever bare en internettforbindelse for å replikere. Den utnytter en teknikk kjent som e-postspoofing , dvs. den søker tilfeldig etter en e-postadresse på den infiserte datamaskinen for å sende en kopi av seg selv med et av disse emnene:

• Re: Godkjent
• Re: Detaljer
• Re: Re: Mine detaljer
• Re: Takk!
• Re: Den filmen
• Re: Wicked screensaver
• Re: Søknaden din
• Takk skal du ha!
• Dine detaljer

Den infiserte e-postmeldingen inneholder også tekst som ber om åpning av vedlegg som: "Se vedlagte fil for detaljer" eller "Se vedlagte fil for detaljer".

Til slutt inneholder den ett av disse vedleggene der vi finner den ondsinnede koden:

• application.pif
• detaljer.pif
• document_9446.pif
• document_all.pif
• movie0045.pif
• takk_du.pif
• your_details.pif
• ditt_dokument.pif
• wicked_scr.scr

Driftsmodus

Viruset vil søke på den infiserte datamaskinen etter en adresse som den kan bruke til å replikere seg selv. Ormen ser etter dem i dokumenter med følgende utvidelser:

• .dbx
• .eml
• .hlp
• .htm
• .html
• .mht
• .wab
• .tekst

Sobig.F-ormen kan spres på en annen måte. Etter hver infeksjon søker den å kontakte 20 tilfeldige IP-adresser på port 8998. Den utnytter dermed Wingate- bakdøren som kan finnes på mange datamaskiner, et spor av en gammel forurensning. Denne døren brukes også ofte av spammere til å distribuere spam .

Sobig ble programmert ved hjelp av Microsoft Visual C ++ - programvare , kompilert og deretter komprimert av tElock- programmet .

For historien deaktiverte Sobig seg selv 10. september 2003. 5. november samme år kunngjorde Microsoft at de ville betale $ 250 000 til alle som ville stoppe forfatteren av dette viruset. Så langt har ingen arrestasjoner funnet sted.

Eksterne linker

• Informasjon om Sobig av Symantec
• SoBig Worm fjerning Sobig informasjon og noen reparasjonsverktøy
• http://www.lurhq.com/sobig.html
• Så, hvem skrev SoBig? Artikkel om forfatteren av viruset