据悉,过去常常被Sober蠕虫病毒用来与其作者进行“沟通”的一种编码,已经被反病毒厂商们破解了。在今年11月份,最新的Sober蠕虫变种导致了一场“大破坏”,它由通过将自己伪装成来自FBI(美国联邦调查局)和CIA(中央情报局)的电子邮件而引诱用户去执行它。
据称,反病毒厂商们获悉,从某种程度上来看,它已经知道怎样通过Web来更新自己。据芬兰反病毒厂商F-Secure公司于当地时间上周四表示,已经破解了曾经被这一蠕虫病毒使用的编码,而且已经发现了蠕虫在特定的时间里进行联系的URL。据F-Secure公司的研究总监米科表示,由于它很容易遭到当局的封杀,因此这一病毒的作者没有使用固定的URL。据米科在其博客中表示,Sober已经在使用一种算法创建根据日期变化的伪随机URL,99%的这些URL都是不存在的。然而,病毒作者能够预先计算任何日期的URL,当他想在被感染的计算机上运行新软件时,他就会注册适当的URL,并上传代码,那么他的代码就会在全球几十万台计算机上运行。
米科建议,为了确保被感染的PC不会自动地升级,系统管理员应当通过封杀对这些URL的访问。然而,据趋势公司服务部门的经理亚当表示,封杀URL是可行的,但系统管理员要首先要确保他们的计算机没有受到感染。
据来自F-Secure公司的统计:在2006年1月5日,所有感染最新Sober蠕虫变种的计算机都将在一系列的URL中寻求一个升级文件,这其中包括:http://people.freenet.de/gixcihnm/、http://scifi.pages.at/agzytvfbybn/、http://home.pages.at/bdalczxpctcb/、http://free.pages.at/ftvuefbumebug/、http://home.arcor.de/ijdsqkkxuwp/。
(第三媒体 2005-12-16)