100%
0%
AntiVir-Experten: Sober-Offensive startet am 6. Januar
Die Spezialisten des H+BEDV Datentechnik GmbH Virenlabors warnen heute vor der Anfang Januar stattfindenden Sober-Offensive. Ihre durchgeführten Analysen zur Entschlüsselung des Wurm-Codes haben zu neuen Erkenntnissen geführt. Sober besitzt demnach eine spezifische Durchschlagkraft, die sich in naher Zukunft aktivieren wird– und zwar am 06. Januar 2006.
Laut den Virenexperten aus dem Hause H+BEDV synchronisiert der Virus die Zeit durch das NTP Protokoll. Dies überträgt sich auf alle infizierten Rechner, die zur selben Zeit aktualisiert werden, unabhängig von der Ortszeit auf dem jeweiligen System. Deshalb wird der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine starten. Alle Systeme, die bereits durch Sober infiziert wurden, werden gleichzeitig einen Update-Vorgang starten, sei es um Mitternacht in London, um 01:00 Uhr in der Nacht in Paris und Berlin, oder gar um 3:00 in Moskau.
Für seine Update-Routine, kontaktiert Sober eine Reihe von URLs, von wo aus er bestimmte Dateien herunterlädt. Die AntiVir-Forscher fanden heraus, dass sich diese Liste alle 14 Tage ändert und dass sie 15 URLs beinhaltet. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschiedliche Listen bis zum Jahresende durchsuchen, was 375 URLs entspricht, die auf den folgenden Domains gehostet sind:
people.freenet.de
scifi.pages.at
home.pages.at
free.pages.at
home.arcor.de
Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten ehe der Inhalt hochgeladen ist und bevor das Update auf den durch Sober infizierten Systemen ausgelöst wird. Die AntiVir-Virenforscher beobachten permanent die genannten Domains.
Wenn man sich die Größenordnung von Sober.Y im Internet seit Anfang November vor Augen führt, lassen sich die Folgen seiner geplanten Taten nur schwer in einem realistischen Rahmen einschätzen. Die Spezialisten des Virenlabors von H+BEDV empfehlen allen Anwendern, ihre AV-Software ständig zu aktualisieren, um eine neue Infektions-Welle bzw. ernsthafte Beeinträchtigungen in der Netzlast zu verhindern.
Laut den Virenexperten aus dem Hause H+BEDV synchronisiert der Virus die Zeit durch das NTP Protokoll. Dies überträgt sich auf alle infizierten Rechner, die zur selben Zeit aktualisiert werden, unabhängig von der Ortszeit auf dem jeweiligen System. Deshalb wird der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine starten. Alle Systeme, die bereits durch Sober infiziert wurden, werden gleichzeitig einen Update-Vorgang starten, sei es um Mitternacht in London, um 01:00 Uhr in der Nacht in Paris und Berlin, oder gar um 3:00 in Moskau.
Für seine Update-Routine, kontaktiert Sober eine Reihe von URLs, von wo aus er bestimmte Dateien herunterlädt. Die AntiVir-Forscher fanden heraus, dass sich diese Liste alle 14 Tage ändert und dass sie 15 URLs beinhaltet. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschiedliche Listen bis zum Jahresende durchsuchen, was 375 URLs entspricht, die auf den folgenden Domains gehostet sind:
people.freenet.de
scifi.pages.at
home.pages.at
free.pages.at
home.arcor.de
Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten ehe der Inhalt hochgeladen ist und bevor das Update auf den durch Sober infizierten Systemen ausgelöst wird. Die AntiVir-Virenforscher beobachten permanent die genannten Domains.
Wenn man sich die Größenordnung von Sober.Y im Internet seit Anfang November vor Augen führt, lassen sich die Folgen seiner geplanten Taten nur schwer in einem realistischen Rahmen einschätzen. Die Spezialisten des Virenlabors von H+BEDV empfehlen allen Anwendern, ihre AV-Software ständig zu aktualisieren, um eine neue Infektions-Welle bzw. ernsthafte Beeinträchtigungen in der Netzlast zu verhindern.
