Dem An­ti­vi­ren­her­stel­ler F-Se­cu­re ist es ge­lun­gen, den Up­date-Me­cha­nis­u­mus des Sober-Wurms zu ana­ly­sie­ren. Bis dato war nur be­kannt, daß sich der Wurm "ir­gend­wie" up­daten kann.

Up­date-Funk­tio­na­li­tät bei Wür­mern ist keine neue Idee: Die Au­to­ren kön­nen auf diese Weise so­wohl neue Ar­beits­an­wei­sun­gen und Funk­tio­nen ver­tei­len; au­ßer­dem kann so der Wurm-Kern gegen von Vi­ren­scan­nern nicht de­tek­tier­te For­men aus­ge­tauscht wer­den, um sich so bes­ser ver­brei­ten zu kön­nen.
In der Ver­gan­gen­heit waren dies meist eine hand­voll sta­ti­scher URLs - ein "sin­gle point of failu­re" aus Sicht der Wurm­pro­gram­mie­rer. Ein­mal ent­deckt, konn­ten die ent­spre­chen­den Sei­ten leicht blo­ckiert wer­den: Im Falle von de­di­zier­ten Rech­nern (meist ge­hack­te Sys­te­me) wur­den diese vom Netz ge­trennt, bei Web­sei­ten von Web­site-Hos­tern konn­ten sie vom Pro­vi­der ent­fernt wer­den.
Die ak­tu­el­len Sober-Va­ri­an­ten be­rech­nen ihre URLs in Ab­hän­gig­keit vom Datum. Der Wur­m­au­tor legt kurz vor dem Stich­tag einen Ac­count mit pas­sen­dem Name bei einem der kos­ten­lo­sen Web­s­pace-Pro­vi­der an und de­po­niert dort die ent­spre­chen­den Da­tei­en. Ein ge­ne­rel­les Blo­ckie­ren ist nicht mehr so ohne wei­te­res mög­lich; das Ver­fah­ren, nach dem die Namen ge­ne­riert wer­den, muß zu­nächst auf­wen­dig aus dem Wurm­code ex­tra­hiert wer­den (was in die­sem Fall nun ge­glückt ist). An­schlie­ßend mü­ß­ten die Web­hos­ter alle Sei­ten mit die­sem Na­mens­sche­ma sper­ren...
Eben­falls ist das Ak­ti­vie­rungs­da­tum va­ria­bel; LURHQ hat hier ei­ni­ge in­ter­es­san­te Ent­de­ckun­gen ver­öf­fent­licht. Der nächs­te Stich­tag ist der 5./6. Ja­nu­ar...