A possibilidade de um ataque massivo levado a cabo pelo worm Sobig.F hoje às 20 horas de Lisboa, é bastante elevada, considera F-Secure. A consultora de segurança acredita que o worm, detectado no passado dia 18 de Agosto e já considerado o pior worm de sempre poderá provocar mais estragos nos cerca de 100 milhões de computadores já afectados. Segundo a empresa, o Sobig.F pode estar programado para entrar hoje numa segunda fase que terá lugar precisamente à mesma hora em todas as máquinas, regista como 19 horas UTC e que corresponde às 20 horas em Lisboa e 12 horas em São Francisco.



Segundo esta informação, o worm estará neste momento a conectar-se com os sistemas das máquinas que consegue detectar a partir de uma lista encriptada, escondida no corpo do vírus. Esta lista contem os endereços de 20 computadores localizados nos Estados Unidos, Canadá e Coreia do Sul com ligações DSL always-on, explica a F-Secure.



Ao conectar-se a um destes 20 servidores autentica-se a ele próprio através de um código secreto de 8 bytes. Por sua vez o servidor reage com um endereço de internet a partir do qual as máquinas infectadas irão fazer o download de um programa cujo o conteúdo é, para já, completamente desconhecido.



As autoridades, em parceria com empresas de segurança, estão a tentar desligar estas máquinas da internet para evitar o ataque mas, o facto de estarem ligadas a redes de operadores diferentes pode impossibilitar que a medida se concretize em tempo útil.



A F-Secure já conseguiu quebrar a cifra do sistema e está a averiguar o destino do endereço de internet enviado pelos servidores, para já sem sucesso. Acredita-se que os hackers previram este movimento das empresas de segurança e nos últimos minutos antes da hora programada para o ataque reprogramem o endereço.



As versões anteriores deste vírus, como o Sobig e o Sobig.E, podem dar algumas indicações sobre o que esperar deste worm. O primeiro era bastante mais simples, na concepção, enquanto o Sobig.E fazia o download de um programa que removia o vírus para depois começar a copiar informação dos utilizadores como passwords de acesso, etc. Depois disto criava um servidor de email utilizado por vários spammers que a partir daí enviavam as suas ofertas comerciais.



Notícias Relacionadas:

2003-08-22 - Portugal novamente na lista dos países mais afectados pela onda de vírus

2003-08-20 - Quatro novos vírus identificados ampliam estado de alerta de segurança