كرم Sober در هم شكست

نويسنده: Matthew Broersma
Techworld.com
مترجم: ناديا سليمانی

لندن- موسسه امنيتی F-Secure در فنلاند كد مورد استفاده كرم Sober را شناسايی كرده و بدين ترتيب اين موسسه احتمالا با updateهای دريافتی مانع از ورد اين كرم می‌شود. Sober اولين بار در اكتبر سال 2003 ايجاد شد و تاكنون به طور پيوسته در حال تكثير بوده است. در حال حاضر 20 نوع مختلف از اين كرم ايجاد شده است. ماه گذشته آخرين نوع آن كه F-Secure آن را "SoberY" ناميد ( نام ديگر آن بر اساس سيستم نامگذاری CME-681، US-CERT است)، عامل بيشترين شيوع در سال بوده است و هنوز هم حدود 40 درصد از تمامی موارد آلوده شدنی كه توسط F-Secure شناخته می شود توسط اين نوع بوجود می‌آيد.

متخصصان می‌گويند يكی از ويژگی‌هايی كه Sober را تا اين حد خطرناك كرده است، توانايی در داون‌لود كردن انواع جديد است كه بلافاصله دستگاه‌های زيادی را آلوده می‌كند. بنا به اظهرات iDefence، نوع فعلی ، دوباره در پنجم ژانويه كار خودرا از نوع شروع كند.

Mikko Hyponen، مدير پژوهش‌های ضدويروس F-Secure گفت، الگوی داون لود اين كرم مدتی پيش پژوهشگران را گيج كرده بود چون URL مورد استفاده با يك R الگوريتم سری و خاص ايجاد شده بود.

Sober برای ايجاد URLهای تصادفی انتخاب شده، از الگوريتمی استفاده می‌كند كه بر اساس داده‌ها تغيير می‌كند. اين URLها به سرورهای ميزبان رايگان كه معمولا در آلمان يا اتريش فعال هستند، اشاره دارد.

نويسنده ويروس می‌تواند URL را از پيش برای هر تاريخی محاسبه كرده و وقتی كه بخواهد چيزی را در تمامی‌ماشين‌های آلوده اجرا نمايد، تنها URL مورد نظر را ثبت نموده، برنامه خود را Upload كرده و كار تمام  می‌شود. اين ويروس در هزاران دستگاه در سراسر دنيا وجود دارد.

F-Secure اعلام كرد كه الگوريتم اين كد را در هم شكسته و بدين ترتيب مي‌توانند URLهايی كه گونه‌های مختلف اين كرم در تلاش برای download كردن آن هستند، را شناسايی نمايند. Hypponen گفت اين امر به سرويس دهندگان ميزبان مربوطه اين امكان را می‌دهد تا سايت‌ها را مسدود نمايند و همچنين به مديران سيستم فهرستی از سايت‌هايی را كه بايد در فايروال شركت مسدود شوند ارائه می‌نمايد.

اين كرم از يك فهرست 15 سايته با نام‌هايی استفاده می‌كند كه نام سرويس‌دهندگان رايگان وب‌سايت‌ها در آن قرار دارد. هر 14 روز اين فهرست به فهرستی ديگر با نام 15 سايت ديگر تغيير خواهد كرد و اوليت تغيير 6 ژانويه صورت خواهد گرفت.

وی گفت: F-Secure اين الگوريتم را در ماه مه 2005 متوجه شد اما اين حقيقت را تا كنون فاش نكرد تا نويسندگتان ويروس را مطلع نكند.

Copyright 2005 IDG News Service.All right reserved.
Copyright 2005, PC World Iran, All rights reserved.