W32.Sober-P.worm minder på mange måder om tidligere varianter af denne ormefamilie. Men når denne variant har opnået betydelig spredning skyldes det primært, at ormen er blevet sået på det rette tidspunkt og fra mange hundrede kompromitterede systemer på samme tid. På den måde har ormen i en meget tidlig fase opnået et godt afsæt.
Når ormen får godt fat i tysk-sprogede lande, hvorfra den spreder sig til Danmark og Norge, skyldes det bl.a. en raffineret social engineering, hvor modtageren lokkes med et tema som er på mange læber i Tyskland nemlig VM i fodbold i 2006.
Zip forbigår og sikkerhedsopdateringer i Outlook
Når andre orme af denne type ikke har opnået samme effektive spredning som Sober-P, skyldes det bl.a. at denne variant udelukkende ankommer til modtageren pakket i zip-formattet. Ikke alene kan denne teknik medvirke til at slippe forbi gateway scannere, men ormen kan med stor sandsynlighed også finde vej til private brugere i højere grad end tidligere traditionelle e-mail orme.
Det skyldes at langt de fleste brugere er blevet bedre til at vedligeholde Windows, da opdatering er blevet automatisk i Windows XP. Den automatiske opdateringsfunktion nedhenter også servicepakke 2 til XP. En sikkerhedsmæssig forbedring som bl.a. lukker for direkte adgang til vedhæftede binære filer, som kunne tænkes at indeholde skadelig kode.
W32.Sober-P.worm udnytter dette ved at pakke i zip. Filendelsen zip er ikke på listen over skadelige vedhæftninger og slipper således igennem det første forsvar hos private brugere. Når brugeren klikker på filen, åbnes indholdet direkte i Microsoft Windows XP's indbyggede zip-funktion, hvorfra den kan åbnes og køres direkte. Brugeren har derved meget let adgang til at åbne og køre Sober, og det ved ormens forfatter godt.
Når den skadelige kode er blevet kørt på systemet, vil W32.Sober-
P.worm foretage en række ændringer. Den vil bl.a. foretage ændringer i Windows XP's indbyggede firewall og pille ved system-indstillingerne, så systemet efterlades med væsentligt lavere sikkerhed.
Downloader opdatering
Sober familien har en strategi, som på mange måder minder om den, der blev anvendt af Sobig-forfatteren. Den 27. april vil ormen forbinde sig til 5 foskellige domæner hvorfra den vil forsøge at hente filen test.exe og køre den på systemet. Test.exe er endnu ikke blevet uploaded af ormens forfatter, så indholdet kendes ikke.
Der vil ofte være en bagdør, som kan give forfatteren adgang til det inficerede system. Bagdøren kan bruges til at igangsætte kommende varianter. For at sikre at dette sker på det rette tidspunkt, så kontakter ormen løbende en række time-servere.
På den måde kan forfatteren være sikker på at alle inficerede systemer vil hente den binære komponent på samme tid. Download funktionen er krypteret i ormens binære kode. Den ses derfor ikke ved første analyse.
En anden krypteret funktion som ligger gemt i Sober-P, er evnen til at lukke programmer ned, som skal medvirke til at holde systemet fri for bl.a. spyware. Den lukker bl.a. microsoftanti (Microsoft Antispyware) og hijack (Hijackthis). Begge programmer som anvendes til bekæmpelse af uønskede spyware komponenter.
Peter Kruse repræsenterer it-sikkerhedsfirmaet CSIS i AntiPhishing Working Group (APWG) og Digital Phishnet.
