image

Rood alarm: Nieuwe Sober grootste uitbraak van dit jaar

woensdag 23 november 2005, 09:51 door Redactie, 20 reacties

Bijna alle anti-virusaanbieders hebben een "rood alarm" afgegeven voor de nieuwe Sober variant die zich sinds gisteren verspreidt. Volgens de Finse aanbieder F-Secure gaat het zelfs om de grootste uitbraak van 2005 tot nu toe. Een van de redenen dat de nieuwe Sober zo succesvol is komt doordat de berichten van de FBI, CIA of Duitse Bundeskriminalamt (BKA) afkomstig lijken.

De eerste Sober verscheen twee jaar geleden in 2003. Het vermoeden bestaat dat alle 25 varianten door dezelfde persoon geschreven zijn, mogelijk iemand uit Duitsland. In tegenstelling tot veel andere virussen en wormen die vandaag de dag actief zijn, heeft Sober geen duidelijk financieel motief.

Sommige Sober varianten bevatte neo-nazistische boodschappen, maar bij de laatste versie is dit niet het geval. Alle varianten sturen Duitse e-mails naar Duitse e-mailadresssen en Engelse berichten naar andere adressen.

Het Internet Storm Center laat weten dat anti-virus software GEEN bescherming biedt tegen de dreigingen waar internetgebruikers tegenwoordig mee te maken hebben. Virussen zoals Sober veranderen elk uur, waardoor virusscanners met hun signatures altijd achter de feiten aanlopen.

Reacties (20)
23-11-2005, 10:17 door awesselius
Ik denk dat de nieuwe generatie is aangebroken. Iets waar
anti-virusprogrammeurs al eerder bang voor waren: generieke,
soms polymorphische malware. Het echte kat en muis spel is
werkelijk begonnen, als de voorsprong groter wordt, is er
geen beginnen meer aan.

Ik zie het al voor me, een zombie die anderen e-mail stuurt
met ieder een unieke vorm van de malware.

Ik zeg whitelisten, of op zijn minst greylisten. Of
simpelweg geen attachments openen van personen waar je het
niet van verwacht. Plaatjes in je mail uitschakelen, zelf
zoveel mogelijk tekst e-mail versturen en vragen of anderen
ook tekst willen sturen (of vorm het zelf om als je ze
ontvangt via je client).

E-mails in andere talen dan je moedertaal altijd eerst
grondig bekijken. Configureer je spamfilter ook op 'rare'
mailtjes die virussen kunnen bevatten. Dan creeer je een
dubbele laag. Nooit 100%, maar in elk geval bewust bezig.

- Unomi -
23-11-2005, 10:37 door sikkes
Of simpelweg geen attachments openen van personen
waar je het
niet van verwacht.

dat moest je uberhaupt nooit doen.
23-11-2005, 10:49 door Anoniem
Unomi, polymorfe virussen zijn van een vorige generatie, een 10-15 jaar
geleden. De huidige generatie virus schrijvers bakt er niets van. Het bewijs
ligt voor je neus: Sober is niet polymorf, er zijn gewoon een aantal
verschillende versies gemaakt, in de hoop anti-virus makers bezig te
houden zodat er een kans is op verspreiding. Zoals veel andere mail
malware die momenteel de ronde doet, plakt Sober een aantal bytes aan
het einde van de executable. Dat mag geen polymorf heten.

"Het Internet Storm Center laat weten dat anti-virus software GEEN
bescherming biedt tegen de dreigingen waar internetgebruikers
tegenwoordig mee te maken hebben. Virussen zoals Sober veranderen
elk uur, waardoor virusscanners met hun signatures altijd achter de feiten
aanlopen. "

Dit is al een aantal jaren zo. Je hebt pro-actief anti-virus nodig, vooral op
mail scanners. Signatures komen altijd te laat als je op de distributielijst
staat en als de aanval goed gecoordineerd is, zoals bij Sober het geval is.
23-11-2005, 11:26 door DannyVader
Door sikkes
Of simpelweg geen attachments openen van personen
waar je het
niet van verwacht.

dat moest je uberhaupt nooit doen.

Of bijlages blokkeren. Nog beter.

http://support.microsoft.com/kb/837388
23-11-2005, 11:53 door Walter
Door DannyVader
Of bijlages blokkeren. Nog beter.

http://support.microsoft.com/kb/837388
Dat is ook iets dat de gemiddelde gebruiker gaat doen. In de
registry dingen wijzigen om bijlagen te blokkeren.
Vervolgens krijgen ze een exe van een bekende die ze wel
willen kunnen openen, wat niet lukt, en zijn ze vervolgens 3
dagen met iedereen aan het bellen en het praten om dat op te
kunnen lossen.
23-11-2005, 12:30 door Anoniem
Volgens mij is het veel simpeler. Gebruik een andere OS &
ander mailprogramma: Zelf heb ik ons hele gezin op Ubuntu.....
23-11-2005, 13:17 door sikkes
nee, bijlages blokkeren vind ik weer minder, hoogst irritant
als je iets wel nutigs krijgt. een waarschuwing of twee vind
ik best, maar uiteindelijk moet ik het wel kunnen krijgen
als ik dat wil.
23-11-2005, 13:40 door Anoniem
bijlages blokkeren : ok
reden : teveel zut.

blokkeer elke standaard executable en het scheelt een hoop
ellende (denk aan *.exe, *.com *.bat *.lnk, *.scr en weet ik veel wat
voor moois). Ik weet dat sommige geen executables zijn maar
goed, voor windows valt zo'n beetje elk gedefinieerd mimetype op
te starten :(

*.xls, *.doc, *.pss zijn helaas niet zo makkelijk te blokkeren,
aangezien deze type bijlagen wel door een grote meerderheid
worden gestuurd. De onnodige echter, niet eens scannen,
standaard naar "/dev/nul". Sorry als het een legitiem bestand is,
maar het risico is te groot. Simpelweg vanwege het feit dat
"normale" gebruikers totaal geen idee hebben waar ze mee bezig
zijn. Een simpele pagina wat het mail systeem blokkeerd, doet
wonderen. Als je dan uiteindelijk nog vragen krijgt waarom, kun je
simpelweg uitleggen wat de reden is. En in de meeste gevallen
word dat gewoon geaccepteerd, als je gewoon de feiten op tafel
gooit en dat hoeft helemaal geen technisch verhaal te worden.

Wat ik eigenlijk een nog beter idee vind, is het in de ban doen van
html email. Dat scheelt bakken met troep. Het probleem is alleen
dat die marketing gasten (en uiteraard gebruikers) moeilijk gaan
doen omdat er geen plaatjes meer worden gezien in een email

Resultaat : gebruikers gaan proberen de bijlage blokkeringen uit te
schakelen, met de ellende van dien. dat er een standaard blokkade
zit op email bijlagen tegenwoordig in ms outlook/express, kan ik
alleen maar toejuichen. Helaas heeft het weinig zin, aangezien
gebruikers dit dus gewoon uitzetten omdat ze anders bijlagen in
email niet kunnen openen.
23-11-2005, 15:39 door Frans E
Bijna alle anti-virusaanbieders hebben een "rood
alarm" afgegeven voor de nieuwe Sober variant die zich sinds
gisteren verspreidt.

Bijna alle antivirusaanbieders :)
Ik zie er twee. Sophos en F-Secure. Beiden staan wel bekend
als iets nerveus. De anderen hebben medium of low afgegeven.

Overigens verspreid het virus zich sinds eergisteren 20:00 uur.

Ook of het de grooteste uitbraak van het jaar gaat worden
moet nog blijken. Als ik naar de grafieken van
[url=http://www.viruswatch.nl/outbreak/sober_p_outbreak.html]Sober.P[/url]
kijk dan komt
[url=http://www.viruswatch.nl/outbreak/sober_y_outbreak.html]Sober.Y[/url]
tot 75% van Sober.P.

Sober virussen en de berichten die ze verzenden zijn ook
uniek. Je kunt ze met een simpel
[url=http://www.viruswatch.nl/info/soberq_filter.html]filter[/url]
op je mailserver of mail client onderscheppen zonder gebruik
van een virus scanner. Zelf heb ik met dit filter nog geen
false positives gezien maar heeft tot nu toe wel alle
Sobers onderschept.
23-11-2005, 15:41 door Anoniem
Door Anoniem
bijlages blokkeren : ok
reden : teveel zut.

blokkeer elke standaard executable en het scheelt een hoop
ellende (denk aan *.exe, *.com *.bat *.lnk, *.scr en weet ik veel wat
voor moois). Ik weet dat sommige geen executables zijn maar
goed, voor windows valt zo'n beetje elk gedefinieerd mimetype op
te starten :(

*.xls, *.doc, *.pss zijn helaas niet zo makkelijk te blokkeren,
aangezien deze type bijlagen wel door een grote meerderheid
worden gestuurd. De onnodige echter, niet eens scannen,
standaard naar "/dev/nul". Sorry als het een legitiem bestand is,
maar het risico is te groot. Simpelweg vanwege het feit dat
"normale" gebruikers totaal geen idee hebben waar ze mee bezig
zijn. Een simpele pagina wat het mail systeem blokkeerd, doet
wonderen. Als je dan uiteindelijk nog vragen krijgt waarom, kun je
simpelweg uitleggen wat de reden is. En in de meeste gevallen
word dat gewoon geaccepteerd, als je gewoon de feiten op tafel
gooit en dat hoeft helemaal geen technisch verhaal te worden.

Wat ik eigenlijk een nog beter idee vind, is het in de ban doen van
html email. Dat scheelt bakken met troep. Het probleem is alleen
dat die marketing gasten (en uiteraard gebruikers) moeilijk gaan
doen omdat er geen plaatjes meer worden gezien in een email

Resultaat : gebruikers gaan proberen de bijlage blokkeringen uit te
schakelen, met de ellende van dien. dat er een standaard blokkade
zit op email bijlagen tegenwoordig in ms outlook/express, kan ik
alleen maar toejuichen. Helaas heeft het weinig zin, aangezien
gebruikers dit dus gewoon uitzetten omdat ze anders bijlagen in
email niet kunnen openen.


Helemaal mee eens........
Op server niveau (liefst daarvoor) al droppen.

Werkt hier al jaren.
23-11-2005, 17:11 door Frans E
Grappig om te zien hoe zowel van Bagle als MyTob vanmiddag
nieuwe varianten worden uitgebracht om mee te glijden in de
stroom van dit Sober virus.

Zouden ze hopen op overbelaste virusscanners en onderbezette
anti-virusaanbieders :)
23-11-2005, 18:30 door G-Force
Gewoon MailWasher gebruiken. Je kijkt vooraf op de
mailserver of er naast de gewone e-mail ook virusachtige
dingen zijn opgeslagen. Vertrouw je iets niet, dan geef je
via MailWasher de opdracht onbetrouwbare mailtjes op de mailserver op
te schonen. Alleen bonafide e-mail wordt dan nog opgehaald. Het pakket is in het Engels, maar goed te configureren. Er zitten ook een aantal spamfilters in. De gebruiker kan zelf ook filters instellen. Dankzij MailWasher heb ik eens een virusbesmetting voorkomen. De virusscanner van de ISP had het bestand kennelijk doorgelaten. Door te dubbelklikken op de onderwerpregel wordt alleen kale tekst zichtbaar, waardoor het snel te achterhalen is of er sprake is van een mailtje gezonden door een computervirus.

MailWasher kan als extra beveiligingslaag vóór het eigen systeem ingebouwd worden, waardoor de beveiliging extra verhoogd wordt.

Wie de GRATIS MailWasher-versie wil downloaden (voor 95/98/Me/2000/XP)
kan naar de volgende download page gaan:

http://www.mailwasher.net/download.php
23-11-2005, 21:20 door Anoniem
Door Frans E
Grappig om te zien hoe zowel van Bagle als MyTob vanmiddag
nieuwe varianten worden uitgebracht om mee te glijden in de
stroom van dit Sober virus.

Zouden ze hopen op overbelaste virusscanners en onderbezette
anti-virusaanbieders :)

In het verleden is weleens gesproken door virusschrijvers onderling over
het overbelasten van av producenten, maar dat waren niet geslaagde
pogingen.
23-11-2005, 21:36 door Anoniem
Door Frans E
Sober virussen en de berichten die ze verzenden zijn ook
uniek. Je kunt ze met een simpel
[url=http://www.viruswatch.nl/info/soberq_filter.html]filter[/url]
op je mailserver of mail client onderscheppen zonder gebruik
van een virus scanner. Zelf heb ik met dit filter nog geen
false positives gezien maar heeft tot nu toe wel alle
Sobers onderschept.

Dit filter is niet universeel toepasbaar voor alle Sober varianten, omdat die
diverse soorten berichtopmaak produceren.De claim in die richting op de
web site is onjuist.

Het is ook een ietwat gevaarlijk filter omdat het met te weinig aspecten
rekening houdt.

Je moet ook rekening houden met message rewriters zoals
Netscape/iPlanet Messaging Server ervoor zullen zorgen dat het bericht
niet meer zo makkelijk herkenbaar is. Andere mail servers zullen de datum
header herschrijven en zo het bericht de filter laten passeren.

Dan heb je nog de behulpzame mail servers die niet bezorgbare berichten
gewoon "terugsturen" naar de vervalste afzender, met een aanpassinkje
hier en daar.

"Nee, onze mail server staat niet open voor relaying".
- "Maar hij helpt anders wel mee met de virusverspreiding naar derden."
Een kwestie van interpretatie.

Het zou iig verboden moeten worden mail te "retourneren".
23-11-2005, 21:56 door Anoniem
Ik droom over de tijd dat ik niet vatbaar was voor virussen.

Oh... ik ben niet vatbaar, ik draai LINUX.
(sorry, moest dit even kwijt)
24-11-2005, 04:34 door DUIJNUNDER
Toch klopt er hier iets niet.. vele goede en goed bedoelde oplossingen om
besmetting tegen te gaan zijn allemaal in de vorm van een stap terug. Nu
we in deze wereld zoveel geweldige vormen van communicatie creëren,
gaan we die weer knijpen of afnemen omdat er een paar rotte appels idd
snel veel mensen kunnen infecteren..

.slap voorbeeld {
Je speelgoed auto maakt te veel herrie, dus pakken we het maar af
situatie zorgt idd ervoor datje wat rust krijgt, maar dat klopt natuurlijk niet
echt... en je kind zal nooit meer brandweer man/vrouw worden, of juist wel
maar dan een gefrustreerde.. lol ;
}

Oplossingen in de goede richting heb ik natuurlijk ook niet echt, anders zat
ik hier niet dit te typen natuurlijk.. maar het lijkt me goed om eens te kijken
wat er gedaan kan worden met behoud van alle functionaliteit!

Kijk.. je moet natuurlijk wel je deur op slot doen en erop letten zelf ook dat
niemand inbreekt, maar ieder land wordt natuurlijk wel door allerlei dure
middelen en afspraken beschermt voor eventuele aanvallen! (hint).

Denk dus toch dat er meer vannuit de ISP's en regeringen moet komen om
dichter bij de haard het mogelijk brandje te blussen.. en dat moeten we
met zijn allen regelen.. of voor elkaar zien te krijgen. Maar ja.. Hoe moet het
gedaan worden :)
24-11-2005, 11:28 door Anoniem
Door Anoniem
Ik droom over de tijd dat ik niet vatbaar was voor virussen.

Oh... ik ben niet vatbaar, ik draai LINUX.
(sorry, moest dit even kwijt)

En toen werd je echt wakker:

http://snowplow.org/tom/worm/worm.html
24-11-2005, 13:20 door Anoniem
Door Anoniem
Door Anoniem
Ik droom over de tijd dat ik niet vatbaar was voor virussen.

Oh... ik ben niet vatbaar, ik draai LINUX.
(sorry, moest dit even kwijt)

En toen werd je echt wakker:

http://snowplow.org/tom/worm/worm.html
De titel van die pagina is "The What, Why, and How of the
1988 Internet Worm"

root@dowell$ date
Thu Nov 24 14:20:54 EET 2005

Pfff...
24-11-2005, 17:15 door Anoniem
Door Anoniem
Ik droom over de tijd dat ik niet vatbaar was voor virussen.

Oh... ik ben niet vatbaar, ik draai LINUX.
(sorry, moest dit even kwijt)

Als je dit meent:
Dream on rootkits waren onder unix uitgevonden...en er zijn er al een paar
op linux..

Zoniet:
;)
26-11-2005, 00:03 door spatieman
bij klanten van, die pas internet hebben gekregen,
installeer ik al standaard mailwasher, tot nu toe geen klachten.

iemand geen spamfilter gebruikt is het zelfde rund wat mer
vuurwerk stunt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.