Feltörték a Sober féregvírus kódját
Az F-Secure biztonsági cég feltörte a Sober féregvírus kódját, így pontos képet tud adni a kártevő terjedéséről. A Sobert először 2003 decemberében észlelték, azóta mintegy 20 különféle változat jelent meg belőle, amelyek az F-Secure adatai szerint a világ összes vírusfertőzéseinek mintegy 40 százalékát okozzák. A legutóbbi variáns, a Sober.Y idén november végén bukkant fel és rekordgyorsasággal terjedt el.
Az F-Secure szakemberei kiderítették, hogy a Sober a fertőzött gépekre települve egy bizonyos idő elteltével aktiválja és az internetről frissíti magát. A Sober.Y esetében ez január 6-án fog bekövetkezni, ekkor a féreg különféle német és osztrák weboldalakról próbál meg "frissítéseket" letölteni. A Sober korábbi változataiban talált náci üzenetek alapján az iDefense biztonsági cég azt feltételezi, hogy a féregvírus készítője valamiféle kapcsolatban lehet egy a neonáci szervezettel az aktiválódás időpontja pedig a náci párt alapításának évfordulója lehet.
A pontos URL-t a vírus egy pszeudorandom algoritmus segítségével határozza meg, amely bizonyos időközönként új és új címeket generál. A webcímeken egyelőre nem található semmi, azonban a Sober készítője pontosan tudja, hogy mikor helyezze ott el a szükséges fájlokat. A féreg ráadásul nem a számítógép órája szerint aktiválja magát, hanem az interneten át egy atomórával szinkronizál, így még véletlen sem fordulhat elő, hogy a PC rosszul beállított órája miatt túl korán vagy túl későn lép akcióba.
Mikko Hypponen, az F-Secure kutatási igazgatója elmondta, a rendszer-adminisztátoroknak a biztonság érdekében blokkolniuk kellene a hálózati hozzáféréseket ezekhez a webcímekhez, így a Soberrel fertőzött gépekre nem juthat el a frissítés, mindazonáltal a legjobb védelmet természetesen egy megbízható és rendszeresen frissített vírusirtó használhata jelenti.