Sain äsken tämmöisen tiedonannon:
Massiivinen verkkohyökkäys alkaa tänään
Sobig.F aktivoi tuntemattoman ohjelman perjantaina 19:00 UTC
F-Secure varoittaa Sobig.F –madon uudentasoisesta verkkohyökkäyksestä.
Windows-sähköpostimato Sobig.F, joka on tällä hetkellä maailman eniten levinnyt mato, on löytymisensä jälkeen tiistaina 18.8.2003 luonut massiivista maailmanlaajuista sähköpostiliikennettä. Mato levittää itseään sähköpostien saastuneissa liitetiedostoissa ja niiden lähetysosoite on naamioitu. Internetissä havaittujen saastuneiden viestien määrä lähentelee nyt sataa miljoonaa.
Sobig.F sisältää kuitenkin myös yllätyksellisen hyökkäysmenetelmän. Kaikki saastuneet koneet siirtyvät tänään perjantaina 22.8.2003, toiseen kehitysvaiheeseen. Saastuneet koneet käyttävät huipputarkkoja kelloja synkronoidakseen hyökkäyksen alkavaksi täsmälleen samaan aikaan ympäri maailmaa: 19:00:00 UTC, eli 22:00 Suomen aikaa.
Tällä kellonlyömällä mato aloittaa kytkeytymisen koneisiin, joiden tiedot on piilotettu matoon. Tämä lista sisältää osoitteet 20 koneeseen, jotka sijaitsevat USA:ssa, Kanadassa ja Etelä-Koreassa.
"Nämä 20 konetta näyttävät olevan tyypillisiä kotikoneita, jotka on kytketty Internettiin laajakaistayhteydellä", sanoo Mikko Hyppönen, F-Securen tutkimusjohtaja. "Mitä ilmeisimmin Sobig.F:n luoja on murtautunut näihin koneisiin ja käyttää niitä nyt apuvälineinä hyökkäyksessä".
Mato kytkeytyy yhteen näistä 20 palvelimesta ja tunnistautuen kahdeksanmerkkisellä salasanalla. Palvelimet vastaavat tähän salatulla Internet-osoitteella. Saastuneet koneet lataavat ohjelman tästä osoitteesta, ja suorittavat sen. Tällä hetkellä on vielä täysin epäselvää mitä tämä salaperäinen ohjelma tekee.
F-Secure on onnistunut tunkeutumaan tähän järjestelmään ja murtamaan salauksen, mutta tällä hetkellä palvelimen lähettämä Internet-osoite ei johda mihinkään. "Viruksen kehittäjät tietävät, että yritämme ladata ohjelman etukäteen analysoidaksemme sen", sanoo Hyppönen. "Ilmeisesti heidän suunnitelmissaan on vaihtaa osoite osoittamaan oikeaan paikkaan tai paikkoihin vasta juuri ennen määräaikaa. Siihen mennessä, kun saamme haltuumme tarvittavan tiedoston, saastuneet koneet ovat jo ehtineet käynnistää tämän tuntemattoman ohjelman."
Suoritettavan ohjelman toiminnoista ei ole tällä hetkellä tietoa. Se voi aiheuttaa tuhoa, kuten poistaa tiedostoja, tai järjestää verkkohyökkäyksiä. Aikaisemmat Sobigin versiot ovat tuottaneet samankaltaisia, mutta yksinkertaisempia hyökkäyksiä. Sobig.E latasi ohjelman, joka poisti madon itsensä peittääkseen jälkensä, ja aloitti sen jälkeen varastamaan käyttäjän verkko- ja Internet-salasanoja. Tämän jälkeen mato asensi piilotetun sähköpostin välityspalvelun, jota useat roskapostinlähettäjät ovat käyttäneet lähettääkseen mainoksiaan näiden koneiden kautta omistajan sitä tietämättä. Sobig.F saattaa tehdä jotain samankaltaista, mutta sen näemme vasta tänään klo 22:00 Suomen aikaa.
"Heti kun saimme murrettua madon käyttämän salauksen, jonka takana 20 koneen lista oli piilossa, olemme yrittäneet sulkea koneet", selittää Mikko Hyppönen. F-Secure on työskennellyt yhteistyössä julkishallintojen, viranomaisten, ja CERT-tietoturvaorganisaatioiden kanssa saadakseen nämä koneet kytkettyä irti Internetistä. "Valitettavasti viruksenkirjoittajat osasivat odottaa tätäkin." Nämä 20 konetta on valittu eri palveluntarjoajien verkoista, jolloin on hyvin epätodennäköistä että aika riittää niiden sulkemiseen ennen klo 22:00. Vaikka vain yksikin koneista jäisi päälle, se riittää madolle.
Madon sisältämä kehittynyt tekniikka osoittaa ettei se ole tavallisen virusharrastelijan kirjoittama. Se, että aiempia Sobig –versioita ovat käyttäneet hyväkseen niin laajalti monet roskapostin lähettäjät, kertoo madon tuovan taloudellista hyötyä luojalleen. Kuka kaiken takana sitten on? "Näyttää mielestäni hyvin organisoidulta rikokselta", kommentoi Hyppönen.
F-Secure tutkii Sobig.F –madon kehitystä läpi perjantain ja lauantain välisen yön. Päivitykset julkaistaan Sobig.F –madon teknisellä kuvaussivulla osoitteessa
http://www.f-secure.com/v-descs/sobig_f.shtml
F-Secure Anti-Virus löytää ja pysäyttää Sobig.F –madon.