Minden rekordot megdönt a Sobig.F féreg

A most pusztító féregvírus a fél éve felbukkant Sobig új változata. A gyorsan terjedő vírus kedden és szerdán lelassította a vállalati levelezőrendszereket, melyek lázasan szűrték a beérkező üzeneteket. A New York-i MessageLabs statisztikái szerint minden 17. üzenet tartalmazta a Sobig.F vírust. Az America Online rendszerébe naponta átlagosan 11 millió csatolt fájlt tartalmazó üzenet érkezik, kedden azonban 31 millió ilyen email jött. Közülük 11,5 millió levélben rejtőzött a Sobig.F vírus.

A szakértők arra emlékeztetnek, hogy a gyanútlan felhasználó minden esetben maga nyitja ki a fertőzött állományt, a vírus nem használja ki a levelezőprogramok régóta ismert hibáit és nem fertőz magától. Ezt a hátrányt viszont a jelek szerint sikeresen kompenzálja az alkalmazott spammelési technika, a levelek tömeges kiküldése.

Mégis lehet szűrni

A Sobig.F féregvírust tartalmazó levelek nehezen felismerhetőek, mivel a tárgysor és a feladó folyamatosan változik. Az Index viszont úgy találta, a bejövő levelek hatékony szűrése egy szűrőfeltétel megadásával mégis lehetséges, mivel minden fertőzött email szövege tartalmazza a "see the attached file" szócsoportot.

A fertőzést követően a féregvírus átvizsgálja a számítógépet, emailcímek után kutatva. Ezt követően a beépített SMTP-szervere segítségével elküldi magát ezekre a címekre, miközben hamis feladót tüntet fel.

Inog a Klez trónja

A Kaspersky vírusirtó cég szerint a Sobig.F az elmúlt másfél év legsúlyosabb vírusjárványát okozza. A cég közleménye arra emlékeztet, hogy csak a 2001 októberében azonosított Klez volt képes több számítógép megfertőzésére.

A jelenlegi első számú közellenség csaknem elérte a Lovesan hálózati féregvírus terjedési sebességét. Miközben a Lovesan az internetre magára jelent veszélyt, a Sobig.F az egyedi felhasználóknak okoz fejtörést. A féregvírus szerzője ugyanis a legrosszabb esetben megszerezheti a megtámadott gépek feletti teljes ellenőrzést, emlékeztetett a Kaspersky.

A Sobig.F ugyanakkor egy lejárati dátummal is rendelkezik. A féregvírus szeptember 10-e után már nem terjed tovább. A készítője alighanem arra számít, hogy megfertőzött és úgy hagyott gépeket a vihar leülését követően feltűnés nélkül manipulálhatja.

A modemesek belassulnak

A GTS Datanetnél nem okozott gondot a néhány napja felbukkant új féregvírus. Sem a hálózat sem a szerverek nem lassultak le a megnövekedett terhelés alatt, jelentette ki az Indexnek Szabó István, a vállalat hálózatfejlesztési és üzemeltetési vezetője.

A tapasztalataik szerint viszont az ügyfelek gépei között jelentős számban akad fertőzött, de ez valószínűleg más szolgáltatóknál sincs másként. Akik jelezték a Datanetnek, hogy problémáik vannak, azoknak az elmúlt napokban segítettek a vírustól és a hulladék emailektől való megszabadulásban, mondta Szabó István.

Közvetett jelek

A Datanet supportjához a tapasztalatok szerint akkor fordulnak a felhasználók, ha a hálózati sebesség lecsökkenését tapasztalják. Vagyis így közvetve észlelik a fertőzöttségük jeleit. A modemes hozzáférésnél a kimenő forgalomban ugyanis az erőforrásokat teljesen elvonja a féregvírus, mondta a szakértő.

Szélessávú kapcsolatnál ez így nem mondható el, még a viszonylag kis feltöltési sebességet biztosító ADSL-hozzáférés esetében sem. A modemes és az alacsony sebességű bérelt vonalas ügyfelek viszont a saját bőrükön tapasztalják, ha vírus elkezdi a fertőzött spamet szórni, jelentette ki Szabó István.

Csak kérésre törlik a szemetet

A modemes felhasználók nehezen tudnak megbirkózni a postaládájukat eltömítő hasznavehetetlen levéltömeggel, mivel csak letöltés után tudják törölni a leveleket. A szolgáltató elméletileg képes letöltés előtt, a szerveren törölni a postát. Ezt azoban kizárólag csak annak tudják megtenni, aki ezt írásban kéri, máskülönben nincs joguk beleavatkozni a forgalomba, jelentette ki a Datanet szakértője.

A postaláda tárhelyének betelése nagyon kevés ügyfelet fenyeget, ehhez ugyanis korábban felső korlátot kellett beállítani. Különben a hozzáférés típusától is függ, hogy mekkora az elméleti felső határ, mondta Szabó István.

Az Inter.Net Magyarországnál nem tapasztaltak semmilyen fennakadást. Az ügyfélszolgálathoz az elmúlt két napban csak egy-két telefon érkezett a vírussal kapcsolatban, tudtuk meg a vállalat sajtóosztályától.

Az Axelero szűr

Az Axelero szakemberei már a járvány kezdetén észlelték a szolgáltató levelezőrendszerében a fertőzött emailek tömegét, mondta Ihász Sándor, a vállalat informatikai igazgatója.

A levelek jelenléte közvetlenül nem jelentett olyan túlterhelést, amely lassulást vagy leállást okozott volna. A levelek szűrése és vírusmentesítése azonban jelentős erőforrást igényel. A naprakész vírusvédelemmel rendelkező központi rendszer ugyanis képes távol tartani a már ismert vírusos csatolt fájlokat az Axelero ügyfelek postaládáitól, így a fertőzött fájlok nem juthatnak tovább. Azonban van egy időszak a vírus beazonosítása és a frissítés között, amíg az új vírusok átszökhetnek, emlékeztetett Ihász Sándor.

Nincs nyomtalan módosítás

Az Axelero vírusvédelmi rendszere a küldeményből képes a szerveren eltávolítani a fertőzött fájlt, azt azonban nem vizsgálja, hogy komoly emailről van-e szó, vagy egy vírus által generált levélről. Mivel a szolgáltatónak levéltovábbítás a kötelezettsége, ezeket a küldeményeket is továbbítania kell. "Ugyanakkor a címzett számára a levélben jelezzük, hogy a neki szánt levél fertőzött volt, és a vírust a vírusvédelmi szoftver eltávolította. Nyomtalanul a szolgáltató még ebben az esetben sem módosíthatja a levelet" - jelentette ki az Axelero illetékese.

Az utóbbi egy hétben az Axelero ügyfélszolgálatán megszaporodtak a vírusokkal kapcsolatos kérdések. Az ügyfeleknek a saját vírusirtó használata és frissítése mellett javasolják, hogy az operációs rendszerük biztonsági javításait is rendszeresen ellenőrizzék és telepítsék, hiszen a levélben terjedő vírusok mellett más úton terjedő vírusok is léteznek. Jó példa erre a nemrégiben felbukkant Lovesan vírus, amely közvetlenül a hálózati kapcsolaton keresztül terjed. Az Axelero ezért is javasolja a felhasználóinak, hogy a saját gépen is védekezzenek.