De twintig internetadressen waar het virus nieuwe software zou downloaden zijn door adequaat handelen van virusexperts, Amerikaanse overheidsinstanties en de diverse CERT's offline gehaald. Virusexperts ontdekten vorige week dat Sobig.F zo was geprogrammeerd dat besmette pc's vrijdagavond contact zouden maken met een server om instructies te downloaden. Volgens F-Secure betrof het in totaal twintig `moederservers' die zich in de Verenigde Staten, Canada en Zuid-Korea bevonden. "Deze twintig pc's lijken gewone thuiscomputers te zijn, die met een dsl-verbinding aan internet hangen", aldus Mikko Hypponen van F-Secure. "Waarschijnlijk heeft de bedenker van Sobig.F in deze pc's ingebroken om deze te kunnen misbruiken voor de aanval."

Encryptie

Volgens F-Secure heeft de maker van Sobig.F gebruikgemaakt van speciale technieken om zijn sporen te wissen. Zo had de worm een speciale 8-bit code aan boord om zichzelf te identificeren bij de moederservers. De server stuurde dan vervolgens automatisch een internetadres door waar het virus extra software kon downloaden. "Toen we deze code hadden gekraakt, hebben we geprobeerd de servers af te sluiten", aldus Hypponen.

Snelste virus ooit

Sobig.F begon vorige week aan zijn opmars. De snelheid waarmee dit virus zich verspreidde, was enorm. Volgens virusexpers van MessageLabs is Sobig.F het snelst verspreidende virus ooit. De virusbestrijder heeft inmiddels bijna 1,5 miljoen exemplaren van dit virus tegengehouden. Sobig.F is, evenals zijn voorgangers, een zogeheten mass-mailer: het stuurt zichzelf door naar e-mailadressen die het op een geïnfecteerde pc vindt. De afzender van het mailbericht wordt vervalst.