13 decembrie 2005

PCWorld Romania

Sober va ataca pe 6 ianuarie
Categorie: Internet
Laboratorul Antivirus Avira a avertizat asupra recentului raport privitor la atacul programat al virusului Sober de la inceputul lunii ianuarie. Analistii de virusi ai companiei au descompus codul viermelui, au simulat actiunile anticipate ale viermelui Sober din ianuarie si au incercat sa faca o identificare pozitiva prin analiza comportamentala.

A reiesit ca Sober este intr-adevar programat sa demareze anumite actiuni in cateva saptamani, dar nu pe 5 ianuarie, asa cum au sustinut anumiti experti
saptamana trecuta, ci pe 6 ianuarie. Conform Avira viermele sincronizeaza timpul prin intermediul protocolului NTP, ceea ce inseamna ca toate calculatoarele infectate incep sa se actualizeze in acelasi timp, indiferent de ora locala a unui anumit sistem.

Astfel, Sober isi va lansa rutina de actualizare in data de 6 ianuarie, la ora 00:00 UTC (Universal Time Coordinated). Cu alte cuvinte, toate sistemele infectate de Sober vor incepe un proces de actualizare simultan, la miezul noptii in Londra, la ora 01 :00 am in Paris si Berlin, sau ora 3 :00 am in Moscova.

Pentru aceasta rutina de actualizare, Sober se conecteaza la o serie de URL-uri, de unde descarca anumite fisiere. Analistii de virusi Avira au descoperit ca aceasta lista se schimba la interval de 14 zile si include 15 URL-uri, gazduite pe urmatoarele domenii : people.freenet.de, scifi.pages.at, home.pages.at, free.pages.at si home.arcor.de.

La momentul actual, adresele URL nu exista de fapt, dar autorul virusului le-ar putea crea cu doar cateva minute inainte sa faca upload-ul de continut si inainte de actualizarea programata a sistemelor infectate cu Sober.

Sursa: Avira