Virusul Sober ataca pe 6 ianuarie

de: Stiri Apropo.ro
14 12. 2005, 16:29
Specialistii Laboratorului Antivirus AVIRA avertizeaza astazi asupra recentului raport privitor la atacul programat al virusului Sober de la inceputul lunii ianuarie. Analize tehnice detaliate au condus la noi descoperiri: analistii de virusi ai companiei AVIRA au descompus codul

Specialistii Laboratorului Antivirus AVIRA avertizeaza astazi asupra recentului raport privitor la atacul programat al virusului Sober de la inceputul lunii ianuarie.

Analize tehnice detaliate au condus la noi descoperiri: analistii de virusi ai companiei AVIRA au descompus codul viermelui, au simulat actiunile anticipate ale viermelui Sober din ianuarie si au incercat sa faca o identificare pozitiva prin analiza comportamentala. A reiesit ca Sober este intr-adevar programat sa demareze anumite actiuni in cateva saptamani, dar nu pe 5 ianuarie, asa cum au sustinut anumiti experti saptamana trecuta, ci pe 6 ianuarie.

Conform specialistilor antivirus ai companiei AVIRA, viermele sincronizeaza timpul prin intermediul protocolului NTP, ceea ce inseamna ca toate calculatoarele infectate incep sa se actualizeze in acelasi timp, indiferent de ora locala a unui anumit sistem. Astfel, Sober isi va lansa rutina de actualizare in data de 6 ianuarie, la ora 00:00 UTC (Universal Time Coordinated). Cu alte cuvinte, toate sistemele infectate de Sober vor incepe un proces de actualizare simultan, la miezul noptii in Londra, la ora 01 :00 am in Paris si Berlin, sau ora 3 :00 am in Moscova.

Pentru aceasta rutina de actualizare, Sober se conecteaza la o serie de URL-uri, de unde descarca anumite fisiere. Analistii de virusi au descoperit ca aceasta lista se schimba la interval de 14 zile si include 15 URL-uri. Daca ciclul de actualizare continua, atunci viermele va trebui sa verifice, pana la sfarsitul anului, nu mai putin de 25 de liste diferite, corespunzatoare unui numar de 375 URL-uri gazduite pe urmatoarele domenii :

people.freenet.de

scifi.pages.at

home.pages.at

free.pages.at

home.arcor.de

La momentul actual, adresele URL nu exista de fapt, dar autorul virusului le-ar putea crea cu doar cateva minute inainte sa faca upload-ul de continut si inainte de actualizarea programata a sistemelor infectate cu Sober. Cu toate acestea, cercetatorii antivirus AVIRA monitorizeaza constant domeniile mai sus mentionate si orice informatii referitoare la URL-urile folosite de Sober vor fi dezvaluite imediat.

Luand in considerare magnitudinea ofensivei demarate de Sober.Y la inceputul lui noiembrie, consecintele actiunilor planificate ale viermelui sunt dificil de evaluat in termeni reali. Pentru a preveni un alt val de infectii sau congestionarea traficului pe Internet, specialistii Laboratorului AVIRA ii indeamna pe utilizatorii informatici sa-si mentina scuturile antivirus actualizate si active in orice moment. In plus, pentru toti aceia care nu folosesc o solutie de securitate si ar putea fi in pericol, analistii nostri de virusi le recomanda sa descarce si sa ruleze AVIRA Removal Tool pentru Windows, un utilitar de dezinfectie gratuit, creat pentru a detecta si elimina aceasta amenintare informatica.

Sursa: Avira Soft, preluat de SmartNews.

Articole recomandate