A empresa finlandesa de segurança F-Secure afirmou que quebrou o algoritmo usado pelo worm Sober, e agora pode prever quais endereços o malware utilizará para atualizar-se.
O algoritmo do worm foi quebrado em Maio de 2005, porém a empresa manteve sigilo, apenas alertando autoridades alemãs sobre a existência de servidores que continham atualizações para o worm.
A F-Secure comentou que 99% dos endereços gerados pelo Sober atualmente não existem. Entretanto, os criadores do worm precisam ativá-los pelo menos uma vez, para executar programas nas máquinas infectadas.
"O criador de vírus sabe que, se usar um endereço constante para atividades maliciosas, ele será bloqueado rapidamente", segundo Mikko Hypponen, pesquisador da F-Secure. "No entanto, o Sober utilizou um algoritmo para criar falsos endereços, que são modificados usando a data como critério".
A F-Secure postou uma lista de endereços que o Sober checará entre 5 e 6 de Janeiro de 2006. Após estas datas, a lista mudará a cada 15 dias. Pesquisadores de segurança afirmaram que o bloqueio a estes endereços protegeria a todos contra o Sober, embora os usuários devam garantir que já não estão infectados.
Mais informações: BetaNews
