Sober-Updatefunktion entziffert

Dem Antivirenhersteller F-Secure ist es gelungen, den Update-Mechanisumus des Sober-Wurms zu analysieren. Bis dato war nur bekannt, daß sich der Wurm "irgendwie" updaten kann.

Update-Funktionalität bei Würmern ist keine neue Idee: Die Autoren können auf diese Weise sowohl neue Arbeitsanweisungen und Funktionen verteilen; außerdem kann so der Wurm-Kern gegen von Virenscannern nicht detektierte Formen ausgetauscht werden, um sich so besser verbreiten zu können.
In der Vergangenheit waren dies meist eine handvoll statischer URLs - ein "single point of failure" aus Sicht der Wurmprogrammierer. Einmal entdeckt, konnten die entsprechenden Seiten leicht blockiert werden: Im Falle von dedizierten Rechnern (meist gehackte Systeme) wurden diese vom Netz getrennt, bei Webseiten von Website-Hostern konnten sie vom Provider entfernt werden.
Die aktuellen Sober-Varianten berechnen ihre URLs in Abhängigkeit vom Datum. Der Wurmautor legt kurz vor dem Stichtag einen Account mit passendem Name bei einem der kostenlosen Webspace-Provider an und deponiert dort die entsprechenden Dateien. Ein generelles Blockieren ist nicht mehr so ohne weiteres möglich; das Verfahren, nach dem die Namen generiert werden, muß zunächst aufwendig aus dem Wurmcode extrahiert werden (was in diesem Fall nun geglückt ist). Anschließend müßten die Webhoster alle Seiten mit diesem Namensschema sperren...
Ebenfalls ist das Aktivierungsdatum variabel; LURHQ hat hier einige interessante Entdeckungen veröffentlicht. Der nächste Stichtag ist der 5./6. Januar...

comments powered by Disqus