Bir önceki haberimizde sizlere, virüs kodunun 20 adet bilgisayarı kullanacağının belirlendiğini vermiştik (Bkz : SoBig.F için Yeni Dönem Başlıyor). Bu 20 bilgisayarın IP adreslerinin belirlenmesinden sonra, FBI’ın hafta sonunu enfekte olmuş bu makinaların çalışmasını önleyecek kodları yüklemeye çalışarak geçirdiği bildirildi. Çabaların sonucunda, 18 makina susturuldu. Virüsün 2.fazda çok yayılması engellendi.
Ancak, güvenlik uzmanları Sobig.F’in hala e-mail’lerle 10 Eylül’e kadar yayılmaya devam edeceğini bildiriyorlar.
Öte yandan, Arizona-merkezli UseNet erişim sağlayıcısı Easynews.com yetkilileri, 18 ağustos’ta dağılmaya başlayan virüsle ilgili olarak FBI’ın bir mahkeme kararı ile kendilerinden bilgi istediğini doğruladı.
Şirketten yapılan açıklamada “FBI bize Easynews.com’u kullanan bir bireyin 18 ağustos’ta SoBig virüsü göndermeye başladığını bildirdi” denildi. FBI, Easynews.com şirketinden, ilgili kullanıcı hesabı ile ilgili bilgi istedi. Şirket yetkilileri, virüsün ilk olarak kendi servislerinden birisinin kullanıcısı tarafından yüklendiğini doğruladı.
Easynews.com Teknik Müdürü Michael Minor “Hesabın çalıntı bir kredi kartı ile açıldığını bulduk. Bu kullanıcının tek amacı UseNet network’üne virüs yaymakmış” dedi.
Virüsün yayılmasını takip eden anti-virüs firması F-Secure, Sobig.F’in her cuma ve pazar yeniden aktive olduğunu bildiriyor. Bu hareketlilik 10 eylüle kadar böyle sürecek. Ancak, virüsle ilgili komutları yerine getirmesi planlanan makinaların 18’inin bağlantısı engellendiği için virüsün yayılmasının engellenmesinde başarı sağlanmış oldu.
F-Secure yetkilileri “Şirketimiz, kapatıldıklarından emin olmak için, bu 20 makinaya, 3 farklı ülkeden ve 3 farklı sensör ile bağlanmayı denedi. Şu ana kadar, bir kez bile bağlanamadık. Biz bağlanamamışsak, başkalarının da bağlanması mümkün değil. Bu nedenle de yeni aktivasyonlar olamayacak” dedi.
Tabi, kurtçuğun kendi kodundaki ana IP listesini yeni numaralarla yenileme olasılığı var. iDefence’den Ken Durham bu konuya dikkatlerimizi çekiyor. Durham bugün yaptğı yazılı açıklamada “Sobig.F bulaşmış makinalarda, 995-999 nolu UDP portlarının açıldığını düşünüyoruz. Bu da saldırı için kullanılacak IP adresleri listesinin değiştirilmesini mümkün kılabilir. Eğer bu olursa, saldırgan geri kalan SoBig bulaşmış makinaları yeniden configure edebilir ve gelecek pazar ya da diğer saldırı tarihlerinde saldırısını sürdürebilir” diyor.
Dunham “Ip adreslerinin nasıl configure edilebildiğini anlayabilirsek, bulaşmıiş sunucuların 10 eylülden önce yönleri değiştirilebilir” diye ekliyor.
Geçen haftaki benzeri ağır bombardımandan (halı – carpet bombing) korunmak için Dunham UDP 8998 portunun kapatılmasını tavsiye ediyor. Böylece SoBig.F’in haberleşmesi kesilecek ve kendini güncellemesi ya da inşa etmesi engellenebilecek.
Dunham 995-999 no’lu UDP portlarının da kapatılmasını tavsiye ediyor. Bu yolla da virüsün kendisini güncellemesi engellenebiliyor.
Kaynak : 