13.12.2005г.
Код Sober расшифрован
Антивирусные компании вскрыли алгоритм, используемый червем Sober для "общения" с автором.
В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется - и изменять поведение самого червя.
В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.
"Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире", - пишет Хиппонен в своем блоге.
По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:
- people.freenet.de/gixcihnm/
- scifi.pages.at/agzytvfbybn/
- home.pages.at/bdalczxpctcb/
- free.pages.at/ftvuefbumebug/
- home.arcor.de/ijdsqkkxuwp/
Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.
Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. "Блокирование этих URL неплохая идея, но в первую очередь задача администраторов - гарантировать, что их машины не заражены", - прокомментировал он.
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
