Zaterdag 06/06/2020

SoBig-F-virus had pornosite als doelwit

Het wormvirus dat zich eind vorige week als gek begon te verspreiden over het internet lijkt te zijn ontstaan op een pornoforum. Vrijdagnacht probeerde het ook alleen de website Sex.com plat te leggen, wat eventjes lukte.

Brussel

Eigen berichtgeving

Ronald Meeus

De SoBig-F-computerworm, die zich eind vorige week begon te verspreiden, tiert nog welig over het internet, maar een gecoördineerde aanval die het virus in gang probeerde te zetten, is mislukt. In de programmatuur van het virus zaten de IP-adressen (een uniek adres dat elke computer krijgt die op het internet is aangesloten) van twintig computers verweven waarvan het vrijdagnacht extra software probeerde te downloaden naar de computers die het had besmet. Die software zou, zo vermoeden tenminste veiligheidsexperts, worden gebruikt om ofwel de harde schijf van de besmette computer te doorzoeken naar informatie, ofwel al die computers in te zetten in een massale aanval op een bepaalde webserver.

De eerste aanwijzingen lijken op dat tweede te duiden, maar een gecoördineerde operatie van verscheidene beveiligingsbedrijven, softwaregigant Microsoft en de Amerikaanse veiligheidsdienst FBI werkte zo doeltreffend dat er eigenlijk te weinig informatie overbleef over het precieze doelwit van de worm. "Van de twintig servers die werden gebruikt in de aanval, liggen er negentien plat, en legt er eentje de besmette computers op om een pornosite te bestoken met webaanvragen", zei antivirusbedrijf Symantec ten tijde van de aanval.

De website, Sex.com, ging eventjes onderuit onder de aanval, die te vergelijken viel met de denial of service-aanvallen die drie jaar geleden populaire websites als Yahoo! kreupel wisten te slaan: verscheidene computers probeerden zoveel aanvragen te sturen om de openingspagina te mogen zien, dat de server in kwestie overbelast geraakte.

Het is verre van zeker dat Sex.com het aanvankelijke doelwit was, zegt consulent Graham Cluley van het Britse antivirusbedrijf Sophos tegen De Morgen. "De maker van het virus had onmiddellijke toegang tot het programma dat de besmette computers naar de website omleidde. Mogelijk heeft hij, toen hij merkte dat de aanval niet zou lukken in de omvang die hij had voorzien, een ander doelwit gekozen."

Vreemd is echter dat het virus ook zijn oorsprong blijkt te hebben op een pornoforum. Het FBI vroeg afgelopen weekend informatie op bij een Amerikaanse internetprovider, bij wie de maker van het virus volgens de dienst zijn internetconnectie bleek te hebben. Via die aansluiting plaatste hij volgens het FBI en beveiligingsexperts de originele variant van SoBig-F op een Usenet-discussiegroep over porno. Het bestand zat daar verscholen achter een link die de lezer vieze beeldjes beloofde. Gisteravond had de maker van het virus alle controle over zijn worm verloren, zegt Cluley. "Maar het virus probeert een tweede keer van alles te downloaden naar de computers die het heeft besmet, van dezelfde reeks IP-adressen." Die tweede fase van de aanval moest zich, volgens gegevens van experts die het virus uitplozen, vannacht voltrekken. "We denken niet dat het virus in staat is om nog verdere schade te berokkenen", zegt Cluley.

Hij wijst erop dat het virus wellicht niet in zijn initiële opzet is geslaagd, maar nog steeds niet vernietigd is. Pas begin september schakelt het virus zichzelf automatisch uit. Afgelopen weekend waren wereldwijd nog steeds 100.000 computers besmet met het virus, en fietsten er miljoenen geïnfecteerde mails over het internet. "Maandagochtend wordt even spannend, omdat op dat moment een groot aantal gebruikers voor de eerste keer in twee dagen hun computers aanzetten", zegt Cluley.

Het virus verspreidt zich via de contactenlijst van gebruikers die nietsvermoedend een bestand in de bijlage van een geïnfecteerde mail openen. Men kan een SoBig-F-mail herkennen aan de tekst in het onderwerp: die kan 'Thank You!' luiden, 'Re: That movie', 'Re: Wicked screensaver' of 'Re: Details'. Opletten, want de afzender van de mail kan iemand zijn die u kent.

Alles wijst erop dat het virus wellicht niet in zijn initiële opzet is geslaagd, toch is het nog steeds niet vernietigd

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234