En ny variant av det kjente e-postviruset Sobig, for anledningen døpt Sobig.F, har tatt Norge med storm siden morgentimene.
– En ny innpakning var nok til at den unngikk deteksjon gjennom den vanlige signaturen til Sobig, forklarer utviklingssjef Steinar Wigtil i Norman. – Vi var heldige og fikk tak i et tidlig eksemplar, og fikk sendt ut en oppdatering allerede etter en halvtimes tid, ved halv elleve tiden. Tydeligvis har ikke alle antivirusleverandører vært like kjappe. Vi har hatt en flom av henvendelser.
Sobig, også i den nye F-varianten, er et klassisk e-postvirus som sprer seg gjennom å sende seg selv som e-post til alle på adresselisten i Microsofts e-postklienter Outlook og Outlook Express. Den er ikke destruktiv, men den fyller opp e-postkassen med meldinger, der budskapet er at du må klikke på et vedlegg for å få "ytterligere detaljer".
– Og klikker du på vedlegget er selvfølgelig helvetet løs. Sannsynligheten for at man klikker på vedlegget øker fordi svært mange vil få meldingen fra folk de kjenner. Kunder med utstrakt kontaktnett forteller at de har fått et nytt eksemplar hvert annet minutt gjennom hele arbeidsdagen.
Statistikken fra MessageLabs tyder på at Norge er spesielt hardt rammet.
– Nå ved sekstentiden står Norge for 28 prosent av all Sobig.F-smitte i verden. For en times tid siden var andelen 36 prosent. Det innebærer en av to ting. Enten er en antivirusleverandør spesielt seint ute med å oppdatere Norge, ellers så er en stor norsk institusjon blitt smittet tidlig og pøser Sobig.F ut til hele verden.
En bestemt faktor bidrar til å Sobig.F unngår enkle virussperrer i bedrifter med filtre.
– Sobig.F henger på seg litt søppel av varierende lengde. Det innebærer at filtersystemer som fjerner vedlegg med bestemt lengde, settes ut av spill.
Henrik Amundsen Vaage, daglig leder i Symantec Norge, bekrefter Sobig.F-epidemien her i landet. Han legger til at flere ofre er rammet ikke bare av Sobig.F, men også av ormene MSBlaster og dens godlynte fiende Nachi, også kjent som Welchia. I tillegg har han varslet kundene mot Dumaru, en e-post som gir seg ut for å inneholde fiksen mot MSBlaster, men der vedlegget egentlig er en trojaner som åpner for å ta over offerets PC.
– Vi har klassifisert Welchia/Nachi i samme kategori som MSBlaster og Slammer. MSBlaster kan være i ferd med å ta seg opp igjen. Fortsetter det slik, kan det bli en svært interessant høst.
Vaage mener situasjonen i dag understreker hvor viktig det er å supplere antivirus med en personlig brannmur.
– En personlig brannmur vil avvise snusing på portene som de to ormene bruker, og den vil også stanse RPC-kallene som gjør at maskinen krasjer mens man er i ferd med å laste ned Windows-fiksen. Mange ofre for MSBlaster har problemer med å laste ned fiksen nettopp fordi maskinen deres ikke greier å holde kontakten med Internett.