Код Sober расшифрован

Антивирусные компании вскрыли алгоритм, используемый червем Sober для «общения» с автором.

В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется — и изменять поведение самого червя.

В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.

«Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире», — пишет Хиппонен в своем блоге.

По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:

http://people.freenet.de/gixcihnm/

http://scifi.pages.at/agzytvfbybn/

http://home.pages.at/bdalczxpctcb/

http://free.pages.at/ftvuefbumebug/

http://home.arcor.de/ijdsqkkxuwp/

Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.

Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. «Блокирование этих URL неплохая идея, но в первую очередь задача администраторов — гарантировать, что их машины не заражены», — прокомментировал он.

Предыдущие публикации:

2005-12-01

В прошедшем месяце больше всех червей свирепствовал Sober

Обсуждение и комментарии

	M&M's 12 Dec 2005 4:15 PM
Обязать администраторов почистить свои машины - неплохая идея, но так как львиная доля компов принадлежит домашним безалаберным юзерам, то заблокировать урлы все-таки надо.

	Igor 14 Dec 2005 1:11 AM
не все такие уж и безалаберные я свою домашнюю сеть уже заблокировал

	M&M's 14 Dec 2005 9:42 AM
Я тоже уже заблокировал, и давно, но до того как я ее заблокировал, я был безалаберный, по моему логично... А некоторые еще и не заблокировали ZDNet не читают

	M&M's 14 Dec 2005 9:44 AM
К слову, я остался в некоторых отношениях безалаберным и после того, как заблокировал сеть, но эт другой вопрос....

← ноябрь 2005

7 8 9 11 12 13 14 15 16

январь 2006 →