Sober, questa volta forse lo fermiamo
Antirootkit, scende in campo Intel_Virus e Antivirus
Per fortuna, il produttore finlandese F-Secure è riuscito a decodificare il modo con cui il worm (in sé vetusto, visto che risale a due anni fa) comunica con il proprio autore (finora ignoto) per ricevere istruzioni.
Il meccanismo è semplice: Sober è programmato per collegarsi, in date predefinite, a siti Web che vengono registrati dall’autore del worm e che, prima di essere disattivati (dall’autore stesso o, più presumibilmente, dai provider di turno: il bersaglio più ovvio è costituito da chi offre hosting gratuito), erogano gli aggiornamenti necessari.
Esattamente come Windows Update, insomma: magari più artigianale, ma ben fin troppo ben realizzato. E ricorrente: il “Sober Update” avviene con puntualità, due volte al mese.
Quello che F-Secure è riuscito a violare è il meccanismo di cifratura relativo al nome della pagina Web cui il worm deve collegarsi per l’aggiornamento: è ora possibile sapere che il 5 gennaio prossimo Sober tenterà di sferrare un nuovo attacco. E il fatto che proprio allora ricorra l’ottantasettesimo anniversario della fondazione del partito nazionalsocialista tedesco non ha fatto altro che alimentare speculazioni e interpretazioni, tanto più se si considera che i server Web per l’aggiornamento di Sober sono prevalentemente tedeschi o austriaci.
Pericolo definitivamente sventato, quindi? Solo il tempo potrà dirlo: ma sembra proprio che il worm autore dell’attacco più massiccio del 2005 abbia ricevuto un colpo durissimo.
Ancora nessun commento.