Den seneste variant af e-mail-ormen Sober har indstillet sin spredning. Inden da nåede den at udløse et af de hidtil største udbrud målt på antallet af inficerede e-mails. Det russiske antivirusfirma Kaspersky Labs mener at have forklaringen på ormens succes.
Ormene i Sober-familien har for hver ny generation finpudset og forbedret en beskyttelsesmekanisme, som gør det svært for antivirusprogrammer at kurere en inficeret Windows-pc.
Når Sober først er aktiveret og lægger sig i hukommelsen på systemet, blokerer den for adgangen til at læse indholdet af dens filer.
Ifølge Kaspersky Labs er denne blokering så effektiv, at end ikke programmer med systemniveau-rettigheder kan scanne filerne.
Antivirus kan ikke dræbe
Når filerne ikke kan scannes, kan et antivirusprogram heller ikke benytte et digitalt fingeraftryk til at identificere det ondsindede program. Sådant et fingeraftryk kan bruges til at genkende en virus eller orm ud fra programkoden.
For at genkende Sober-ormen skal antivirusprogrammet derfor være i stand til specifikt at genkende den aktuelle variant ud fra andre ydre kendetegn.
Denne beskyttelse hjælper ikke Sober mod et opdateret og aktivt antivirusprogram, som scanner den originale e-mail, som ormen ankommer med. Til gengæld beskytter det mod at blive sporet af visse antivirusprogrammer, når brugeren kører en scanning af systemet.
Når ormen først ligger i systemets hukommelse, skal antivirusprogrammet desuden kunne dræbe den aktive proces. Det er ifølge Kaspersky Labs ikke alle antivirusprogrammer, som kan gøre det.
Lokkemad kun en del af forklaringen
Den seneste variant af Sober-ormen er især blevet kendt for at lokke med billetter til fodbold-VM i visse af de e-mails, som den udsender. Kaspersky Labs vurderer dog ikke, at det alene er ormens dygtige brugermanipulation eller "social engineering", som har fået den til at spredes i rekordtempo.
Andre ondsindede programmer benytter nemlig tilsvarende eller mere udspekulerede tricks til at lokke brugerne til at åbne den vedhæftede fil uden at opnå samme spredning.
Selvom Sober-ormen ikke længere udsender nye inficerede e-mails, så er den ikke helt død. Ormen ligger fortsat på de inficerede systemer og søger efter opdateringer til sig selv fra en række servere.
Relevant link