Een sinds vorige week rondwarende nieuwe worm veroorzaakt veel overlast. Hierbij zijn niet alleen eindgebruikers en internetproviders het slachtoffer.
De Sober.X-worm (door sommige bestrijders ook wel Sober.W of -Z genoemd) verspreidt zichzelf op een relatief ouderwetse manier: hij mailt zichzelf door naar adressen in het adresboek van de besmette pc. Daarbij zijn er variaties in de boodschap van de e-mail; in het Duits of Engels en zogenaamd afkomstig van onder meer het Bundeskriminalamt, de CIA of de FBI. Laatstgenoemde heeft dan ook een officiële Sober.X-waarschuwing doen uitgaan.
Tips
|
Snelle besmetting
CleanPort-cto Jeroen Oostendorp is verbaasd over de snelle verspreiding. Sober.X is immers een variant van een reeds lang bekende worm, de twee jaar oude Sober. Hij stelt dat goede, heuristische filtering – zoals in het eigen product ProTAG – dit had moeten opvangen. De meeste leveranciers van antivirussoftware hebben hun producten snel voorzien van nieuwe definities om deze nieuwe variant tegen te houden. Kenners zijn het erover eens dat de antivirusindustrie deze wedloop aan het verliezen is.
Naast de vrees voor de zogeheten zero-day exploit (direct na ontdekking van een lek verschijnende plaag), neemt namelijk ook het verspreidingstempo toe. De Nederlandse, onafhankelijke adviesorganisatie VirusAlert meldde vorige week al dat Sober.X bezig is met een sterke opmars. De worm dankt dat aan de ingebouwde mogelijkheid drie SMTP-processen (send message transfer protocol) te draaien waarmee het ‘blitz-verzendingen’ verzorgt.
Antivirusproducent Symantec gaf de worm al een drie op zijn gevarenschaal van vijf. Dat deed het voor het laatst in augustus toen de Zotob-worm de ronde deed. Symantec schrijft het grootste deel van het succes van Sober.X echter toe aan de goed opgestelde boodschap, waar kennelijk veel mensen intrappen.
