Sælir félagar, Meðfylgjandi skeyti fékk ég í tölvupósti og held að þeir hjá Sensa hafi ekkert við það að athuga þó ég sendi það áfram. Svona til fróðleiks langar mig að segja frá því að póstþjónn RHnet hefur stoppað yfir 215 þúsund eintök af þessum vírus og efast ég ekki um að það eru fleiri sem hafa stoppað álíka mikið. Fyrir þá sem nota sendmail þá langar mig að minna á milter sem ég skrifaði fyrir nokkru og er hann það sem er í notkun hjá RHnet, ISNIC og mörgum aðilum úti í hinum stóra heimi, hann er hægt að nálgast á: ftp://ftp.rhnet.is/pub/noattach/ /Óli ==================================================================================== Kæri viðskiptavinur Í ljós hefur komið að SoBig.F@mm vírusinn/ormurinn getur verið skaðlegri en áætlað var í fyrstu. Meðfylgjandi eru upplýsingar um hvernig hægt er að draga úr skaðsemi hans eftir bestu getu, miðað við þær upplýsingar sem við höfum í dag. Þú getur einnig haft samband við þinn tengilið hjá Sensa til að leitast eftir aðstoð. Sensa mun fylgjast vel með þróun vírussins. SoBig.F vírusinn hefur náð gríðarlegri útbreiðslu um Internetið og lagt mörg íslensk stórfyrirtæki á hliðina. Sensa hefur unnið hörðum höndum undanfarna daga í að draga úr útbreiðslu vírussins og meðfylgjandi eru þær upplýsingar sem við höfum viðað að okkur við þessa vinnu. Tæknileg lýsing: Vírusinn fjölgar sér ört og talið er að hundruð þúsunda tölvupósta með vírusum hafi flætt um Ísland nú þegar. Á morgun mun vírusinn tala við fyrirfram ákveðna netþjóna (IP-tölur) og sækja upplýsingar um það hvað hann á að gera í framhaldinu. Sá möguleiki er ennþá fyrir hendi að hann muni tala við fleiri eða aðra netþjóna (IP tölur) en vitað er að svo stöddu. Samskiptamáti vírussins: Vírusinn mun sækja upplýsingar um hvað hann á að gera með því að tala við netþjóna um allan heim á samskiptaporti 8998/udp. Netþjónninn mun þá senda á sýktar vélar sem eiga samskipti við netþjónana svar á portum 99x/udp (nánar 995, 996, 997, 998, 999/udp). Vírusinn fer í gang á fyrirfram ákveðnum tímum en tekur ekki mið af klukku tölvunnar heldur sækir klukkuna frá tímaþjónum víðvegar um allan heim. Þess vegna þýðir ekki að breyta klukkunni á tölvunni sjálfri. Hvað skal gera: 1) Loka á ÖLL IP samskipti við neðangreindar IP tölur í miðlægum beinum og eldveggjum. 2) Loka á umferð á samskiptaportum vírussins. 3) Loka á SoBig.F í öllum póstkerfum og relay-þjónum. 4) Uppfæra allar vírusvarnir á öllum útstöðvum. Hugmyndir um skaðsemi: Vírusinn mun sækja uppfærslu eða frekari upplýsingar um hvað hann á að gera á morgun. Ekki er vitað hvað hann mun gera í framhaldinu en mikilvægt er að gera ráð fyrir því versta. Hugmynd um afleiðingar eru að vírusinn geri árás á mismunandi staði á Internetinu með því markmiði að gera Internetið og/eða ákveðin fyrirtæki/stofnanir óvirkt. Vírusinn getur einnig tekið upp á því að sækja nýtt afbrigði sem ekki er þekkt í vírusvörnum í dag, eða til dæmis ákveðið að eyða skrám eða forsníða harða diska. Þeir netþjónar sem vírusinn mun sækja upplýsingar frá eru: 12.232.104.221 12.158.102.205 24.33.66.38 24.197.143.132 24.206.75.137 24.202.91.43 24.210.182.156 61.38.187.59 63.250.82.87 65.92.80.218 65.92.186.145 65.95.193.138 65.93.81.59 65.177.240.194 66.131.207.81 67.9.241.67 67.73.21.6 68.38.159.161 68.50.208.96 218.147.164.29 Þeir NTP netþjónar sem vírusinn mun sækja upplýsingar um tímaklukkusig við á UDP port 123: 200.68.60.246 62.119.40.98 150.254.183.15 132.181.12.13 193.79.237.14 131.188.3.222 131.188.3.220 193.5.216.14 193.67.79.202 133.100.11.8 193.204.114.232 138.96.64.10 chronos.cru.fr 212.242.86.186 128.233.3.101 142.3.100.2 200.19.119.69 137.92.140.80 129.132.2.21 Með ósk um að ykkur gangi vel í þessari baráttu. Með bestu kveðjur, starfólk Sensa. ==================================================================================== -- Ólafur Osvaldsson Kerfisstjóri Internet á Íslandi hf. Sími: 525-5291 Email: oli@isnic.is