L'azienda di sicurezza finlandese F-Secure ha annunciato di aver violato il codice del worm Sober, recentemente divenuto un "top" dei problemi di sicurezza per la comunità internet. L’azienda è ora in grado di accedere alla lista di URLs che il virus usa per aggiornarsi. F-Secure aveva scomposto il codice del worm già a Maggio 2005, ma aveva scelto di non rendere la notizia pubblica limitandosi ad avvertire le autorità tedesche della eventuale esistenza di files remoti usati dal worm.
Sober sfrutta un sistema ingegnoso per aggiornarsi: include una routine che "attiva" il virus dopo un certa data dall'infezione. Una volta attivo il worm tenta di scaricare periodicamente un file da una lista di siti web. É in questa maniera che la maggior parte delle varianti di Sober sono state diffuse: il virus writer esegue l'upload di una nuova versione del worm su un server e tutte le macchine già infette si "aggiornano" alla nuova variante.
L'azienda di sicurezza ha potuto rilevare che il 99 percento delle URLs generate da Sober tramite l'algoritmo dedicato non sono attualmente esistenti, tuttavia al virus writer basterebbe attivarne solo una per riuscire ad inviare ulteriore codice nocivo su tutte le macchine attualmente compromesse. Mikko Hyppönen, chief research officer di F-Secure, spiega: "The virus writer knows well that if he uses a single, constant address in the virus body, it will get blocked quickly ... So instead, Sober has been using an algorithm to create pseudorandom URLs which will change based on date."
I ricercatori di sicurezza hanno affermato che bloccare queste URLs potrebbe essere estremamente utile per difendersi da Sober. Tuttavia, cosa più importante, tutti gli utenti sono incoraggiati ad assicurarsi che i loro PCs non siano stati infettati dal worm.
Sober era apparso in rete originariamente ad Ottobre 2003, e fin dal suo debutto sono state prodotte 20 variante differenti del codice nocivo. Sober.Y, l'ultima arrivata, ha rappresentato il più grande "virus outbreak" dell'anno, e da sola si è resa responsabile di circa il 40 percento di tutte le infezioni da Sober in 2 anni. Questa variante si attiverà proprio il 5 Gennaio prossimo. F-Secure ha pubblicato una lista di URLs a cui le macchine infette con Sober si collegheranno il prossimo 5 Gennaio 2006. Dopo quella data, la lista cambierà ogni due settimane, a cominciare dal 6 Gennaio.
Secondo la security firm iDefense la data di attivazione del worm coincide con l'87esimo anniversario della nascita del partito nazista tedesco. In passato altre varianti di Sober venivano allegate proprio ad e-mails contenenti messaggi di propaganda nazista.
Fonte
Sober sfrutta un sistema ingegnoso per aggiornarsi: include una routine che "attiva" il virus dopo un certa data dall'infezione. Una volta attivo il worm tenta di scaricare periodicamente un file da una lista di siti web. É in questa maniera che la maggior parte delle varianti di Sober sono state diffuse: il virus writer esegue l'upload di una nuova versione del worm su un server e tutte le macchine già infette si "aggiornano" alla nuova variante.
L'azienda di sicurezza ha potuto rilevare che il 99 percento delle URLs generate da Sober tramite l'algoritmo dedicato non sono attualmente esistenti, tuttavia al virus writer basterebbe attivarne solo una per riuscire ad inviare ulteriore codice nocivo su tutte le macchine attualmente compromesse. Mikko Hyppönen, chief research officer di F-Secure, spiega: "The virus writer knows well that if he uses a single, constant address in the virus body, it will get blocked quickly ... So instead, Sober has been using an algorithm to create pseudorandom URLs which will change based on date."
I ricercatori di sicurezza hanno affermato che bloccare queste URLs potrebbe essere estremamente utile per difendersi da Sober. Tuttavia, cosa più importante, tutti gli utenti sono incoraggiati ad assicurarsi che i loro PCs non siano stati infettati dal worm.
Sober era apparso in rete originariamente ad Ottobre 2003, e fin dal suo debutto sono state prodotte 20 variante differenti del codice nocivo. Sober.Y, l'ultima arrivata, ha rappresentato il più grande "virus outbreak" dell'anno, e da sola si è resa responsabile di circa il 40 percento di tutte le infezioni da Sober in 2 anni. Questa variante si attiverà proprio il 5 Gennaio prossimo. F-Secure ha pubblicato una lista di URLs a cui le macchine infette con Sober si collegheranno il prossimo 5 Gennaio 2006. Dopo quella data, la lista cambierà ogni due settimane, a cominciare dal 6 Gennaio.
Secondo la security firm iDefense la data di attivazione del worm coincide con l'87esimo anniversario della nascita del partito nazista tedesco. In passato altre varianti di Sober venivano allegate proprio ad e-mails contenenti messaggi di propaganda nazista.
Fonte