Stejně jako předchozí varianty A až E má v sobě i Sobig.F naprogramováno datum, kdy se přestane šířit. Tentokrát je to 10. září 2003. Je však předčasné se radovat, všechny varianty červa Sobig mají patrně identického autora nebo autory a Sobig.F škodí i jinak než ucpáváním e-mailových schránek.
Červ se v tomto případě usadí na počítači coby trojský kůň, otevře porty číslo 995 až 999 pro protokol UDP a očekává na nich příkazy. Kromě toho začne rozesílat data na náhodné IP adresy na Internetu, snaží se najít server, který má rovněž pro protokol UDP otevřen port 8998. Pokud je úspěšný, získá ze serveru spustitelný soubor, autor tedy může červa jakkoli upgradovat a páchat s ním na napadeném počítači prakticky jakoukoli neplechu, mezi oblíbené kratochvíle červů mimo jiné patří krádeže dokumentů z disku infikovaného počítače a jejich odesílání náhodným adresátům. Nelze vyloučit, že se tak v některých případech již stalo. Bližší popis najdete o zadních vrátkách v červu Sobig.F najdete na Viruslist.comna SARC.com a na Virusportal.com.
Podle odborníků včetně Mikko Hypponena ze společnosti F-Secure hodlá autor červa využít napadených počítačů jako bran pro rozesílání spamu (nevyžádané reklamní elektronické pošty), objevil se již i termín spam zombie. Zdá se dokonce, že první nápor červu Sobig.F byl způsoben úmyslným rozesláním asi milionu exemplářů z počítačů, které již byly infikovány starší verzí červu. Takový objem se dost liší od asi 500 až 1000 exemplářů, které zpravidla vypouštějí do světa autoři jiných červů.
E-mail posílaný červem Sobig.F jsme obdrželi z počítače ředitele Garančního fondu obchodníků s cennými papíry Jiřího Korba. Pracovník Fondu i předseda jeho správní rady Ing. Petr Koblic nám tvrdili, že Fond používá antivirový program AVG a pravidelně jej aktualizuje (podle pracovníka Fondu každý den ráno). Výrobce AVG firma Grisoft potvrdila, že aktualizace schopná detekovat červ Sobig.F byla zveřejněna již 19. srpna odpoledne, první e-mail od červu z počítače ředitele Fondu jsme obdrželi až 20. srpna odpoledne.
Předseda správní rady i pracovník poukazovali na fakt, že se o IT stará externí firma, a bagatelizovali možnost, že mohlo dojít k poškození nebo úniku citlivých dokumentů. Problému by přitom zřejmě zabránilo zablokování spustitelných příloh v e-mailu na poštovním serveru či klientu (v současnosti jsou takto standardně nastaveny i programy Microsoft Outlook a Outlook Express) a důsledné aktualizace databáze antivirů na všech počítačích. Antivirová kontrola na poštovním serveru pochopitelně také není na škodu.
Příští den v půl jedenácté dorazil e-mail od červu Sobig.F z počítače ředitele Garančního fondu obchodníků s cennými papíry do redakce opět.
České instituce mají již určitou tradici nejen ve špatném zabezpečení IT, ale i v podivných reakcích administrátorů informačních sítí. Šestého června se objevil červ Bugbear v síti Všeobecné zdravotní pojišťovny a Národního bezpečnostního úřadu (v obou případech máme k dispozici zdrojové kódy). Správci sítě VZP incident zapírali nejen nám, ale i vlastnímu tiskovému mluvčímu. V Národním bezpečnostním úřadě se zase všichni, kdo červa zaregistrovali, tvářili, jako by se nic nestalo, výskyt červa však nakonec přiznali. Ministerstvo zahraničních věcí má špatnou zkušenost s červem Magistr, který rozesílalo českým emigrantům. Ministerstvo přiznalo incident až na druhý pokus.
Pokud poskytovatel připojení k internetu (Internet Service Provider, ISP) zjistí nebo je upozorněn na problém ve své síti, měl by reagovat. Pokud počítač zákazníka chrlí do světa e-maily s červem, ucpává schránky a infikuje další počítače, měl by ISP jednat rychle.
V síti IOL Českého Telecomu začal masivně šířit červ Sobig.F počítač s IP adresou 80.188.4.98 příznačně pojmenovaný ASISTENTKA připojený pomocí ADSL. V 17:32 jsme upozornili IOL, informace však byla ignorována a počítač chrlil infikované e-maily dál. Večer jsme hovořili s mluvčím Telecomu, červ se šířil i poté. Zatím poslední exemplář dorazil v půl jedné ráno a šíření bylo nejspíše ukončeno jen dočasně vypnutím počítače. Telecom přitom má k dispozici kontaktní údaje zákazníka a díky využití ADSL i telefonní číslo, na jehož kabelu ADSL běží. I kdyby se nepodařilo zkontaktovat infikovaného zákazníka, Telecom mohl alespoň dočasně zablokovat pokusy o připojení napadeného počítače na port 25 potenciální oběti, což zvládne každý směrovač.
Podle Vladana Crhy z Českého Telecomu řešení není tak jednoduché, jak by se mohlo bez důkladnějších znalostí zdát. Crha správně poukazuje, že IP adresy zákazníků jsou dynamicky přidělovány, a proto je nejprve nutné zjistit z logů, komu byla IP adresa přidělena v době odeslání spamu. Rovněž blokování určitého druhu provozu je v případě dynamických IP adres obtížnější, mohl by být s vysokou mírou pravděpodobnosti blokovaný jiný zákazník. Podobné problémy nicméně řeší správci sítí a technici u poskytovatelů připojení k internetu denně.
Laxní přístup Telecomu se projevuje i jinak. Mnoho počítačů z jeho adresního rozsahu 194.228/16 a 80.188/16 je zneužíváno ke spamování, jsou zařazovány na černé listiny, pracovníkům IOL je to však asi jedno. Po zpoplatnění objemu přenesených dat po ADSL bude pro Telecom šíření červů a spamů představovat vylepšení příjmů...
Relativn vyšší počet spamujících počítačů je podle Vladana Crhy způsoben tím, že Telecom má na trhu s ADSL největší podíl. Do budoucna se podle mluvčího Telecomu mohou zákazníci těšit i na nabídku řešení firewallingu.
