12月12日国际报道 反病毒厂商表示,它们已经破解了被Sober 蠕虫病毒用来与其作者“通讯”的一种算法。
最新的Sober 蠕虫变种在11月份造成了“大浩劫”,它通过将自己伪装成来自美国联邦调查局(FBI)和中央情报局(CIA)的电子邮件而诱惑用户执行它。反病毒厂商已经获悉,它知道如何通过Web 对它进行更新。
上周四,芬兰反病毒厂商F-Secure表示,它已经破解了该蠕虫病毒使用的算法,已经发现了蠕虫在特定日子进行联系的URL.F-Secure的研究总监米科说,病毒作者没有使用固定的URL ,因为当局很容易封杀它。
米科在其博客中写道,Sober 一起在使用一种算法创建根据日期变化的伪随机URL ,99% 的这些URL 都是不存在的。但是,病毒作者可以预先计算任何日期的URL ,当想在被感染的计算机上运行新软件时,他就会注册适当的URL ,并上传代码,其代码就会在全球数十万台计算机上运行。
根据F-Secure的计算,在2006年1 月5 日,所有感染最新Sober 蠕虫变种的计算机都将在一系列的URL 中寻求一个升级文件,其中包括:people.freenet.de/gixcihnm/、scifi.pages.at/agzytvfbybn/、home.pages.at/bdalczxpctcb/、free.pages.at/ftvuefbumebug/ 、home.arcor.de/ijdsqkkxuwp/.米科建议系统管理员,通过封杀对这些URL 的访问确保被感染的PC不会自动地升级。
趋势的服务经理亚当表示,封杀URL 是有用的,但最安全的办法是确保PC是安全的。他说,封杀这些URL 是个好主意,但系统管理员要首先确保他们的计算机不会受到感染。