Den nya medlemmen i den fruktade Sobig-familjen toppar listan över de mest spridda virusen i Sverige. På bara två timmar stod den för 75 procent av alla infektioner. Jämfört med övriga länder har spridingen varit som störst i Sverige. Under kvällen har siffran ökat till 85 procent.

- Det påminner om hösten 2001, säger Patrik Runald virusexpert på F-Secure. Detta år gick till historien som det värsta virusåret någonsin. Under den senaste veckan har vi inte enbart följt flera stora virusutbrott, vi har även upptäckt virus som använder helt nya tekniker.

Masken Sobig.F upptäcktes den 19 augusti och utgör den femte medlemmen i Sobig-familjen. Först ut var Sobig.A som upptäcktes i januari i år. Alla Sobig-varianter slutar att spridas vid ett bestämt datum. De olika varianterna avlöser varandra. Så fort en version slutar att spridas tar nästa vid. Sobig.F har brutit mot detta mönster.

- Sobig.E var programmerad att dö ut den 14 juli, och vi förväntade att en Sobig.F skulle ta vid direkt. Det verkade dock som om virusskribenten gick på semester eftersom det tog fyra veckor innan Sobig.F dök upp, berättar Patrik Runald.

- I Sverige tog det två timmar innan Sobig.F stod för 75 procent av alla registrerade infektioner. Det motsvarade omkring 4.500 infekterade datorer. Messagelabs rapporterade vid samma tidpunkt att de registrerat 5.200 infekterade datorer, detta över hela världen. Detta tyder på att Sobig.F har fått en onormal stor spridning i Sverige, avslutar Patrik Runald.

Förutom Sobig.F varnar F-Secure för ytterligare tre virus.

Lovsan ­ sprider sig osynligt

Lovsan (även kallad Blaster) är en nätverksmask som började spridas måndagen 11 augusti.

Masken sprids som den exekverbara filen MSBLAST.EXE i Windows 2000 och Windors XP system såtillvida de senaste säkerhetspatcharna för Windows har installerats. Infektionen är helt osynlig för användaren och efter att datorerna infekterats börjar masken replikeras. Lovsan har redan infekterat hundratusentals datorer. Tre nya varianter av Lovsan har påträffats. Den senaste, Lovsan.D upptäcktes den 19 augusti. Det som skiljer Lovsan.D är att den exekverbara filen heter MSPATCH.EXE och inte MSBLAST.EXE som hos föregångarna.

Welchi ­ tar bort Lovsan

Welchi (även kallad Nachi) är en mask som först upptäcktes under 18 augusti. Den använder samma RPC-hål som Lovsan för att infektera datorer. Welchi försöker även att infektera webbservrar som kör Microsoft IIS 5.0 genom att exploatera en WebDAV sårbarhet som påträffades i mars i år.

Det är uppenbart att Welchi är mer avancerad än Lovsan. När den har infekterat en dator som redan har blivit infekterad av Lovsan ­ dödas Lovsan och avlägsnas från datorn. Sedan försöker Welchi att täta det RPC hål som båda maskarna en gång har tagit sig in via. Welchi är programmerat att dö den 1 januari 2004. Efter detta datum tar den bort sig själv från de infekterade datorerna. Enda nackdelen med denna mask är att den genererar mängder av datatrafik i nätverken, tillräckligt mycket för att skapa problem för vissa routrar och switchar.

Dumaru ­ utnyttjar Microsoft

Dumaru påträffades den 19 augusti. Den utnyttjar uppståndelsen skapat av masken Lovsan. Dumaru skickar ett e-postmeddelande förklätt från support@microsoft.com. I meddelandetexten framgår det att den bifogade filen PATCH.EXE är den säkerhetspatch som behövs för att täppa till det hål som Lovsan utnyttjar. När den bifogade filen öppnas infekteras maskinen. Dumaru installera även en bakdörr vilket gör det möjligt för virusmakaren att fjärrstyra den infekterade datorn.

Detaljerad information om maskarna samt screenshots finns under följande länkar:

http://www.f-secure.se/virus/virusinfo.asp?Namn=Sobig.F

http://www.f-secure.se/virus/virusinfo.asp?Namn=Welchi

http://www.f-secure.se/virus/virusinfo.asp?Namn=Lovsan

http://www.f-secure.se/virus/virusinfo.asp?Namn=Dumaru

http://www.f-secure.se/virus/virusinfo.asp?Namn=Lovsan.D

Pressmeddelande från F-Secure

[2003-08-20]