Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. maj 2005.
Sober-virussen fra maj er det seneste eksempel på en virus, der spreder sig med epidemisk hast. Konstant brugeropmærksomhed og heuristisk scanning kan modvirke nye store udbrud.
Et sted i Kina står en server, der sandsynligvis vil være fødestedet for en virus, der skal videreføre arbejdet for Sober.P der inficerede tusindvis af computere i starten af maj.
Danmark blev ramt af Sober.P mandag aften 2. maj og gav anledning til en meget travl uge for sikkerhedseksperter og antivirus-firmaer.
Natten til tirsdag 10. maj stoppede Sober.P med at sprede sig. At den har destrueret sig selv - begået selvmord som nogle medier dramatisk beskrev det - er dog ikke helt korrekt. Sober.P er blot gået i dvale. Hvis man er blevet inficeret med Sober.P og ikke har fået den fjernet, vil den forsøge at downloade, hvad der højst sandsynligt er en ny virus-variant.
- Vi kan se, at den er parat til at hente en fil, test.exe, ned fra fem forskellige domæner, siger Peter Kruse, it-sikkerhedsrådgiver og stifter af CSIS.
Filen ligger dog ikke på domænerne endnu, så det er for tidligt at sige, om test.exe i sig selv er en virus.
- Det kan være, at test.exe-filen blot vil pege videre på nogle andre servere, hvor der er adgang til tusindvis af maskiner, siger Peter Kruse.
Selv om sikkerhedseksperter har identificeret fem domæner, som programmørerne bag Sober.P øjensynligt vil anvende til at udsprede en ny virus, bliver kampen mod den hård.
- Det er slet ikke så nemt at forhindre en ny spredning, siger Peter Kruse og fortsætter:
- For det første kan nogle af de listede domænenavne blot være vildspor, som er lagt ud for at forvirre virus-efterforskerne. Som eksempel nævner Peter Kruse, at virussen Bagle listede 100 forskellige domæner, men reelt anvendte den ikke mange af dem. Sandsynligvis indeholdt den de mange domænenavne for, at virusefterforskerne skulle spilde tid på at efterforske domæner, som ikke var relevante for Bagle. Et andet forhold, der gør det vanskeligt at stoppe spredningen af virus, er, ifølge Peter Kruse, at nogle lande ikke prioriterer virsubekæmpelse så højt.
- Lovgivningen om virus er ikke så striks i visse lande, og politiet har ikke ressourcer til at efterforske cyberkriminalitet. Samtidigt er nogle webhoteller i de lande stort set ligeglade med, hvilken slags indhold de hoster, blot de tjener penge på hostingen, siger Peter Kruse, der nævner, at især russiske og ukrainske domæner går igen blandt virusspredere.
Af de fem domæner, som Sober.P kontakter, er de to registreret med tyske landekoder og tre af dem med østrigske, men det behøver ikke betyde, at serveren står i de to lande. Ifølge Peter Kruse koncentrerer efterforskerne sig om to domæner, hvoraf det ene hostes af en server i Kina. Organisationen CERT (Computer Emergency Response Team) koordinerer den internationale indsats mod virus og har ifølge Peter Kruse videregivet oplysningerne til CERT i Kina.
Der er mange bud på, hvorfor det lige var Sober.P, der kom til at stå bag dette års hidtil største virus-udbrud. Sober.P blev kendt under navnet fodbold-virussen, da den blandt andet lokkede med gratis billetter til fodbold-VM i Tyskland næste år. Det var tilsyneladende et lokkemiddel, der fik ekstraordinært mange mennesker til at glemme forsigtigheden og klikke på vedhæftede filer.
Hos Softscan har malware researcher Diego d'Ambra et andet bud:
- Der er mange vira, der er mere intelligent lavet end Sober. Det er lidt tilfældigt, at det er den, som breder sig så eksplosivt. Det er ikke fordi, den er et teknisk mirakel eller specielt intelligent udformet, siger Diego d'Ambra. Han mener, at udbredelsen af nye vira følger en speciel tidsrytme.
- Der går mellem tre og seks måneder mellem store udbrud, siger Diego d'Ambra og fortsætter:
- Almindelige brugere er meget opmærksomme lige efter et stort udbrud på grund af omtale i medierne, men efter et par måneder er medieinteressen væk, og brugerne bliver mindre agtpågivende over for virus og formentlig mere tilbøjelige til at åbne mails med vedhæftede filer.
Diego d'Ambra påpeger, at der samtidigt i perioden på tre til seks måneder udskiftes en del maskiner, og at de nye maskiner måske ikke får installeret anti-virus programmer med det samme. Antallet af sårbare maskiner vokser, og den kritiske masse for et stort udbrud nås efter tre til seks måneder.
Når en ny virus kommer i omløb, opdager traditionelle anti-virusprogrammer dem ikke med det samme. Det er først, når anti-virusproducenterne har analyseret virussen og identificeret de digitale kendetegn, at de kan udsende en opdatering til deres virusprogrammer, der beskytter mod den nye virus.
Antivirusprogrammer, der benytter såkaldt heuristisk scanning, kan forebygge, at man bliver ramt af ukendte, nye vira.
I stedet for at basere sig på en liste over kendte viras digitale kendetegn, ser en heuristisk scanning nærmere på en potentiel virus' opførsel.
- Et antivirusprogram med heuristisk scanning simulerer et windows-miljø; den etablerer en sandkasse, hvor en potentiel virus kan udfolde sig, siger Diego d'Ambra.
- I det simulerede miljø undersøges det, om den potentielle virus udviser en mistænkelig opførsel, og om den eksempelvis forsøger at sende e-mails eller kontakte internettet, siger Diego d'Ambra, der oplyser, at cirka 30 procent af virus kan fanges ved hjælp af heuristisk scanning.
- Det er tungt (kræver megen processorkraft), og det tager tid, men det er effektivt. Jo mere der skal simuleres, jo tungere er det, siger Diego d'Ambra, der nævner Norman SandBoxs som eksempel på et godt heuristisk antivirusprogram.
En anden måde at forhindre nye, ukendte virus i at inficere computere er at anvende teknikker, der kendes fra antispam-produkter. Softscans eget produkt Paranoid er et eksempel på det.
- Ordlyd og tekst er nogenlunde ens for de seneste mange virus e-mail. Vi ser på ord og formuleringer, der ofte anvendes, oplyser Diego d'Ambra.
Eksempelvis vil en e-mail med en besked om, at en tidligere sendt e-mail ikke kunne læses, og at den oprindelige e-mail er vedhæftet som kopi, blive behandlet med stor forsigtighed af Paranoid.
Derudover er vedhæftede eksekverbare filer altid mistænkelige. Paranoid ser også på en eventuel vedhæftet fils størrelse, hvornår den er bygget samt typen af endelser.
- En vedhæftet fil med endelsen doc.pif er eksempelvis mistænkelig, siger Diego d'Ambra.
Billedtekst:
sober-genkomst Det ligger i kortene, at der kommer et udbrud af Sober-virus igen, mener Diego d'Ambra.
Boks:
heuristisk scanning
Den heuristiske scanning søger efter instruktioner, kommandoer og funktioner, som afviger fra den normale måde, programmer vil opføre sig på.
store virusudbrud
Sober.P 2. maj 2005
Sober.I 19. november 2004
Netsky-P 21. marts 2004.
