Bagmændene bag e-mailormen Sober har sat deres hidtil største angrebsbølge i gang tirsdag aften, oplyser finske F-Secure, som har forhøjet sit beredskab til det højeste niveau for første gang i adskillige måneder.
Varianter af e-mailormen Sober er den seneste uges tid blevet udsendt i store mængder på internettet.
Nu er antallet imidlertid eksploderet. Ifølge F-Secure har internetudbyderne modtaget millioner af eksemplarer af ormen i løbet af få timer sent tirsdag aften.
Det samme billede bekræftes af Trend Micro, CA, Symantec, Sophos, PandaLabs og MessageLabs.
FBI advarer
Den seneste variant indeholder ingen tekniske overraskelser, men udgiver sig for at være en e-mail fra enten FBI, CIA eller det tyske forbundspoliti BKA.
Det har fået FBI til at udsende noget så usædvanligt som en virusadvarsel på dets hjemmeside, efter at have modtaget mere end 4.000 opkald fra borgere, der havde modtaget e-mailen.
I Sober-e-mailen beder en opdigtet efterforsker modtageren om at udfylde det vedhæftede spørgeskema, efter myndigheden har registreret, at modtageren har besøgt flere "ulovlige hjemmesider".
Den vedhæftede fil indeholder ikke et spørgeskema, men derimod et ondsindet program, som inficerer Windows-pc'er.
- Efter flere fejlslagne forsøg, har bagmændene bag Sober endelig opnåt, hvad de ville, på den nemme måde: Social engineering, siger Luis Corrons chef for PandaLabs ifølge en pressemeddelelse.
Social engineering dækker over et af virusprogrammørerne og hackernes vigtigste våben: Deres evne til at overbevise offeret om, at de er den autoritet, de udgiver sig for at være.
- Enhver lovlydig borger ønsker at hjælpe politiet, og nogle vil gå i panik ved tanken om, at de kan blive offer for falske anklager om at have besøgt ulovlige websteder, og de vil derfor klikke på den vedhæftede fil, siger chefkonsulent Graham Cluley fra Sophos ifølge en pressemeddelelse.
Antivirus ingen garanti
Tirsdag aften dansk tid havde MessageLabs alene stoppet over 2,7 millioner eksemplarer af den seneste Sober-variant efter at have registreret det første eksemplar mandag aften.
Johannes Ullrich fra sikkerhedsorganisationen SANS Internet Storm Center advarer om, at med den hastighed de nye varianter dukker op i disse dage, kan man ikke være sikker på, at antivirusprogrammet er opdateret til at kunne opdage de allernyeste.
- Virusser som Sober bliver typisk ændret i løbet af få timer. Vi modtager meldinger om opdaterede antivirusprogrammer, som overser nogle af de nyeste varianter, skriver Johannes Ullrich på Internet Storm Centers sikkerhedsweblog.
Derfor kan man ikke vide sig sikker, selvom en vedhæftet fil slipper forbi antivirusprogrammet.
Visse antivirusprogrammer er i stand til at fange de fleste nye varianter ud fra et generelt mønster, men kan alligevel overse en variant, hvis den er pakket med et nyt program.
http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
http://www.f-secure.com/v-descs/sober_y.shtml
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=49473
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.x@mm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AG
http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=98110&sind=0
