В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется — и изменять поведение самого червя.
В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.
«Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире», — пишет Хиппонен в своем блоге.
По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:
http://people.freenet.de/gixcihnm/
http://scifi.pages.at/agzytvfbybn/
http://home.pages.at/bdalczxpctcb/
http://free.pages.at/ftvuefbumebug/
http://home.arcor.de/ijdsqkkxuwp/
Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.
Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. «Блокирование этих URL неплохая идея, но в первую очередь задача администраторов — гарантировать, что их машины не заражены», — прокомментировал он.
securitylab.ru