Het Sober-virus was één van de meest voorkomende virussen van 2005. Met name de variant die in november werd gelanceerd, was wijdverspreid. Dit virus, Sober.Z, gaat de komende dagen waarschijnlijk opnieuw voor overlast zorgen.

Het beveiligingsbedrijf iDefense kraakte begin december de versleutelde code van deze Sober-variant en analyseerde de werking van het virus. De uitkomst van het onderzoek: het Sober.Z-virus zal op 5 januari proberen om nieuwe code te downloaden.

Volgens iDefense is de dag van 5 januari niet toevallig gekozen: het is de 87e verjaardag van de oprichting van de NSDAP. De maker van het Sober-virus, die vermoedelijk uit Duitsland komt, wordt ervan verdacht extreemrechtse sympathieën te hebben.

Atoomklokken

Volgens virusbestrijder F-Secure zal het Sober-virus niet op maar na 5 januari in actie komen. Vanaf 6 januari zullen geïnfecteerde computers proberen om een bestand te downloaden (en uit te voeren) vanaf een server. Ook Microsoft schrijft in een beveiligingsadvies dat het Sober-virus op 6 januari in actie komt.

"Het virus synchroniseert de besmette machines zelfs met atoomklokken zodat de activatie niet voor 6 januari plaatsvindt, ook als de klok van de computer niet de juiste tijd aangeeft", staat op het weblog van F-Secure.

Sober.Z zal de bestanden ophalen van de servers van gratis hostingproviders in Duitsland en Oostenrijk. Vanaf welke url het virus het bestand probeert op te halen, verschilt van dag tot dag. Het virus 'berekent' de adressen van de dag op basis van een algoritme.

De meeste van deze url's bestaan niet. Maar omdat het zoveel verschillende adressen zijn, is het moeilijk om ze allemaal te blokkeren. Als de virusmaker wil toeslaan, berekent hij zelf welke url's de geïnfecteerde computers op een bepaalde dag bezoeken, en registreert hij het betreffende adres. Vervolgens uploadt hij zijn bestand en halen alle geïnfecteerde computers deze file binnen.

F-Secure heeft de getroffen Duitse en Oostenrijkse providers en de politie vorig jaar al geïnformeerd over het dreigende gevaar.

Spam

Het bestand dat het Sober-virus downloadt, kan van alles zijn. Een voor de hand liggende mogelijkheid is dat het nieuwe component besmette computers zal inzetten voor het versturen van spam.

Het is al twee keer eerder gebeurd dat het Sober-virus een nieuw bestand downloadde, dat besmette pc's de opdracht gaf om op grote schaal spam te versturen. Rond de Europese verkiezingen van 2004 werden computers die waren besmet met het Sober.G-virus misbruikt voor het versturen van Duitse, nationalistische spam.

In mei 2005 gebeurde hetzelfde. De berichten hadden onderwerpen als 'Auslaender bevorzugt', 'Graeberschaendung auf bundesdeutsche Anordnung' en 'Volk wird nur zum zahlen gebraucht!'.

Nederland

BIT-medewerker Otto van Ouwerkerk heeft Nederlandse internetaanbieders de afgelopen weken aangespoord om maatregelen te nemen tegen klanten die besmet zijn met het Sober-virus.

BIT heeft ook een overzicht van 250 ip-adressen die veel virussen verspreiden. Deze lijst is gebaseerd op de virusmails die worden gestuurd naar de klanten van BIT, Prolocation, Zonnet, Multikabel, Belnet, WideXS en Luna.nl. Het overzicht wordt gedomineerd door het Sober-virus.