F-Secure расшифровала алгоритм червя Sober

В ноябре последний вариант червя Sober навел хаос, являясь пользователям под личиной писем из ФБР и ЦРУ. Антивирусные компании знали, что червь каким-то образом управляется через веб. Он запрограммирован так, чтобы автор мог контролировать зараженные машины, а если требуется — и изменять поведение самого червя.

В четверг финская антивирусная фирма F-Secure сообщила, что она расшифровала алгоритм, используемый червем, и может вычислить точные адреса URL, которые тот посещает в любой день. Главный специалист F-Secure Микко Хиппонен пояснил, что автор вируса не использует постоянный URL, так как его быстро заблокировали бы.

«Sober создает псевдослучайные адреса URL, которые меняются в зависимости от дат. 99% этих URL просто не существует… Однако автор вируса может рассчитать URL на любую дату, и когда ему нужно сделать что-либо на всех зараженных машинах, он просто регистрирует соответствующий URL, загружает туда свою программу и БАХ! Она выполняется на сотнях тысяч машин во всем мире», — пишет Хиппонен в своем блоге.

По расчетам F-Secure, 5 января 2006 года все компьютеры, зараженные последним вариантом вируса Sober, будут искать обновленные файлы в следующих доменах:

 
  http://people.freenet.de/gixcihnm/
  
  http://scifi.pages.at/agzytvfbybn/
  
  http://home.pages.at/bdalczxpctcb/
  
  http://free.pages.at/ftvuefbumebug/
  
  http://home.arcor.de/ijdsqkkxuwp/

Хиппонен рекомендует администраторам лишить любые зараженные ПК возможности автоматического обновления, заблокировав доступ к этим доменам.

Менеджер Trend Micro Адам Бивиано считает, что блокирование URL, может быть, и полезно, но все же надежнее всего было бы сделать все ПК безопасными. «Блокирование этих URL неплохая идея, но в первую очередь задача администраторов — гарантировать, что их машины не заражены», — прокомментировал он.

ZDNet.ru