/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kur mod Sobig??????
Fra : MageLord
Vist : 561 gange
50 point
Dato : 24-08-03 09:39

Jeg er hårdt ramt af Sobig virusen. Jeg modtager dagligt 100+ mails med SObig virusen og det gør ikke ret meget andet end at floode min mailbox.

1) Er der andre bivirkninger af Sobig (smadre harddisk, slette prg. mm.?)

2) Er der en kur mod Sobig? Eller kan jeg bare sætte mig ned og håbe på at det snart går over?

 
 
Kommentar
Fra : Teil


Dato : 24-08-03 09:56

Jeg bruger Norton med firewall og har ikke modtaget én eneste virus.
Er på nettet dagligt, modtager mails fra forskellige steder på kloden.
Reklamer og ukendte afsendere slettes direkte.


Kommentar
Fra : CLAN


Dato : 24-08-03 09:57

Hej MageLord
Det med du modtager 117 mails med virus kan du ikke gøre så meget ved, de kommer jo fra andre som er inficeret. Kender du ikke afsenderen, så er mit råd at slette mailen.
Dit antivirus-program skulle fange virus, hvis du opdatere det dagligt. Det bør du gøre pt. da det da er gået helt amok med vira.
Hygge...
Søren

Kommentar
Fra : als


Dato : 24-08-03 09:59

For det første kan du nemt få fjernet Sobig.F Se her: http://www.spywarefri.dk/virus.htm#Sobig.F
For det andet: Du skal have dit styresystem opdateret. Du skal i det hele taget sørge for at al dine sikkerhedsprogrammer hvilket vil sige, virusscanner, firewalls og spywarebekæmpelses-værktøjer altid er opdateret. Jeg fik også engang en virus, men det var i 1997. Alt mit er altid opdateret. Du skal ikke sætte dig ned og vente på at det snart går over, men kæmpe tilbage. Du kan få mange gode råd på Spywarefri.dk som jeg altid anbefaler til højre og venstre. Jeg kører i arbejdets interesse på de mest skumle sider på nettet, men jeg har ikke det fjerneste snavs på computeren. Hvis du sikrer dig godt så har du heller ikke behov for f.eks. en popup-stopper. Jeg har ingen popups (eller næsten ingen).
Du skal have:

1. Et opdateret styresystem
2. en opdateret virusscanner
3. en opdateret firewall
4. en opdateret version af ad-aware eller spybot eller begge
5. en opdateret version af SpywareGuard
6. en opdateret version af IE-Spyad
7. en opdateret version af SpywareBlaster.

Så mange!! siger du. Programmerne fra nr. 4 til 7 fylder mindre en et par disketter. De sløver ikke din pc. De konflikter ikke med noget som helst. De er gratis.

Hvis du så vil sikre dig yderligere så vælg en god trojanscanner: TrojanHunter, Boclean eller TDS-4. Alle koster mellem et par hundrede kroner og fem hundrede. Kan anbefales.

Som sagt har jeg aldrig problemer, men det skal lige sige at jeg fik en virus for 6. år siden. Det var dengang jeg ikke kendte for meget til IT-sikkerhed. Held og lykke til. Spørgsmål? så kom endelig tilbage.

Kommentar
Fra : CLAN


Dato : 24-08-03 10:01

Hej igen... Teil har ret, har du en firewall, så skulle de ikke slippe igennem. Afhænger lidt af hvilket program du benytter om dette er inkl. i pakken. Nu er Teil altså ekstremt heldig hvis han påstår INTET er sluppet igennem, for det er jo en kendt sag, at vira kommer før kuren.
Du kan holde dig opdateret om sidste nye vira på http://www.krusesecurity.dk/nyheder.html


Kommentar
Fra : als


Dato : 24-08-03 10:03

TDS-4 = TDS-3 undskyld!

Kommentar
Fra : Teil


Dato : 24-08-03 10:11

Jeg må krybe til korset, Klez G eller H ramte min pc for en tid siden.
Ni gange skete det.
Norton blinker tit og tæt, fortæller om nægtet adgang fra adresser kendte
som afsendere af Trojanske heste. Det sker flere gange dagligt.


Kommentar
Fra : MageLord


Dato : 24-08-03 11:08

Så vidt jeg har kunnet læse mig frem til, så bliver man kun inficeret af Sobig, hvis man åbner den vedhæftede fil?
Jeg har selvfølgelig en god forstand på internet sikkerhed, og alle de mails jeg har fået med Sobig er selvfølgelig blevet slettet med det samme.
Så hvis man skal åbne den vedhæftede fil for at få virusen, så burde jeg ikke have noget problem ud over en hulens masse Sobig spam mail der gerne skulle forsvinde når virusen blusser over??

I øvrigt en sød lille tegneserie om emnet:

http://www.gamespy.com/comics/dorktower/

Accepteret svar
Fra : CLAN

Modtaget 50 point
Dato : 24-08-03 12:27

Hvis den vedhæftede pif-fil åbnes vil ormen droppe en kopi af sig selv til windows mappen under navnet winppr32.exe. W32.Sobig-F.worm vil modificere registreringsdatabasen med det formål, at ormen reaktiveres ved genstart af systemet.

Alt om W32.Sobig-F.worm, W32/Sobig.F@mm, Win32.HLLM.Reteras

Citat
Navn: W32.Sobig-F.worm
Alias: W32/Sobig.F@mm, Win32.HLLM.Reteras
Dato: 19. August 2003
Oprindelse: ?
Størrelse: ca. 70 kb
Risiko: HØJ

W32.Sobig-F.worm er en ny variant i Sobig familien. Ormen spreder sig i Danmark
med hidtil uset hastighed. Ormen indeholder ondsindet kode som kan gøre det
muligt for ormens forfatter at fjernstyre de inficerede maskiner til at
downloade yderligere komponenter til det kompromitterede system. Det kan
f.eks. ske med det formål, at stjæle følsomme oplysninger og sandsynligvis
anvende de mange maskiner til at udsende yderligere ondsindet kode samt SPAM.

Ormen er skrevet i Visual C++ og pakket med TELock. Koden har en størrelse på ca.
72.100 bytes, men kan variere. Den vil ca. ligge omkring 70 kb. Ormen er pakket
med TELock for, at besværliggøre analyse af koden samt undgå detektion af antivirus
software.

W32.Sobig-F.worm, er en typisk massemailer der ankommer via e-mail, som en vedhæftet
pif-fil med et varieret indhold. Indholdet kan være en eller flere kombinationer
af følgende indhold:

Til: [Her indsættes en tilfældig adresse som høstes fra det inficerede system]
Fra: [Her indsættes en tilfældig adresse som høstes fra det inficerede system]

Emne (en af følgende):

Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Re: Details
Re: Re: My details

Indhold (en af følgende sætninger):

See the attached file for details
Please see the attached file for details.

Vedhæftet:

application.pif
wicked_scr.scr
movie0045.pif
thank_you.pif
your_details.pif
details.pif
document_all.pif
document_9446.pif
your_document.pif

Hvis den vedhæftede pif-fil åbnes vil ormen droppe en kopi af sig selv til windows mappen
under navnet winppr32.exe. W32.Sobig-F.worm vil modificere registreringsdatabasen
med det formål, at ormen reaktiveres ved genstart af systemet.

Det sker via følgende værdier:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TrayX"
= %windows mappen%\winppr32.exe /sinc

Ormen vil gennemsøge det lokale system for e-mail adresser, som den vil anvende til at sende
en kopi af sig selv til. Bemærk, at W32.Sobig-F.worm spoofer til og fra e-mail adresser
med høstede adresser fra den inficerede maskine. Det kan derfor ofte forekomme, at
e-mailen ser ud til at komme fra en person som du kender og har tillid til.

W32.Sobig-F.worm indeholder en funktion, som via TCP 123 kontakter NTP (Network Time Protocol)
servere. Det sker for at synkronisere tiden på den lokale inficerede maskine.

Her ses en log af NTP request som ormen foretager (bemærk de forskellige NTP servere, som
forespørges):

Aug 20 13:12:48 router 59149: Aug 20 13:12:47.404: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(1144) -> 129.132.2.21(123), 1 packet

Aug 20 13:13:03 router 59150: Aug 20 13:13:02.598: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(1147) -> 193.67.79.202(123), 1 packet

Aug 20 13:13:20 router 59195: Aug 20 13:13:19.610: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(1169) -> 142.3.100.2(123), 1 packet

Aug 20 14:13:35 router 65818: Aug 20 14:13:34.440: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(3563) -> 132.181.12.13(123), 1 packet

Aug 20 14:13:51 router 65836: Aug 20 14:13:50.170: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(3570) -> 193.5.216.14(123), 1 packet

Aug 20 14:14:07 router 65862: Aug 20 14:14:06.138: %SEC-6-IPACCESSLOGP:
list 101 permitted udp local(3578) -> 133.100.11.8(123), 1 packet

Endeligt er W32.Sobig-F.worm i stand til at sprede sig via network shares og kan dermed ofte
sprede sig ukontrolleret i et internt netværk.

Efter d. 10. September 2003 vil ormen stoppe med at sprede sig. Denne dato er kodet ind i ormen
og vil stoppe yderligere spredning efter denne dato. Ormen kan dræbes ved at anvende et
værktøj, som f.eks. det som er frigivet Fsecure, men det er også muligt at stoppe spredning
ved at stille datoen frem til 11. September 2003.

Det anbefales, at blokere følgende porte i firewall/router:

- Indgående UDP port 995-999 (remote administation med mulighed for upload af ny kode).
- Udgående UDP port 8998

Samt at foretage filtypefiltrering på pif filer, som ormen typisk anvender som filendelse samt
scr. Filtypefiltrering er effektiv til at stoppe denne type orme i spredning også selvom at der
ikke forefindes opdatering/definition fra den respektive antivirus leverandør.

Generelt bør interne netværk - særligt virksomheder, implementere sikkerhedsopdateringen
fra microsoft der vedrører Outlook og som blokerer særlige udvalgte filtyper der kan bære skadelig
kode. Opdateringen til Outlook hedder Outlook 2000 SR-1 Update: Extended E-mail Security og
kan hentes på følgende adresse: http://office.microsoft.com/Downloads/2000/Out2ksec.aspx

Fsecure har frigivet et værktøj, som kan anvendes til at fjerne denne orm:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip
ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe

Man kan også fjerne Sobig-F.worm manuelt. Det foregår på følgende måde:

Windows XP/2000:
1. Tryk CTRL+ALT+DELETE - Jobliste -> WINPPR32.EXE (denne process skal afsluttes)
2. Slet følgende filer fra windows mappen: WINPPR32.EXE og WINSTT32.DAT.
3. Genstart systemet

Hvis man er fortrolig med registeringsdatabasen kan man med fordel slette de værdier, som peger
på ormen. Læs analysen for at bestemme hvilke værdier som skal slettes.

Kruse Security mener, at denne variant indeholder risiko for automatisk download af en eller flere
bagdørs komponenter, som kan give uhindret adgang til det inficerede system. Der er sandsynligvis
tale om bl.a. en keylogger der syntes at aktiveres sammen med browseren, når særlige sammensætninger
af ord, fremkommer i browserens vindue, herunder bl.a. "Bank", "Online service" m.v. Det er muligt,
at disse oplysninger skal anvendes til at misbruge adgang til Homebanking systemer, eller tilgå
andre sensitive oplysninger. Funktionen kræver nedhentning af yderligere komponenter som beskrevet
herunder:

W32.Sobig-F.worm, kan fjernstyres til at hente filer fra en "master maskine". Det sker via UDP port
8998, som anmoder om nedhentning af en .ini fil. Det sker på et foruddefineret tidspunkt. Ini-filen
indeholder oplysninger om en eller flere URLs, som kan pege på yderligere komponenter. Det gør det
muligt for Sobig-F, at mutere, men funktionaliteten skal måske snarere anvendes, til at stjæle
informationer fra det kompromitterede system.

Det er observeret, at Sobig-F.worm nedhenter en wingate server der kan misbruges som åben proxy
server. Formålet er, at åbne de inficerede maskiner, så de kan anvendes som relays for udsendelse
af SPAM og ondsindet kode.

Sobig familien har eksisteret siden Januar 2003, hvor A-varianten blev sendt i omløb.


Godkendelse af svar
Fra : MageLord


Dato : 24-08-03 19:38

Tak for svaret CLAN.

Det var en god fyldestgørende forklaring, og nu er jeg mere rolig :)
                        

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste