Code van Sober-virus gekraakt

Doorbraak in strijd tegen spamverstuurder

09 december 2005 | Jamie Biesemans Experts zijn er in geslaagd belangrijke informatie uit de code van de Sober-virusfamilie te halen. Het is nu bekend waar en wanneer geïnfecteerde pc's nieuwe code downloaden. Voor netwerkbeheerders en ISP's is dat goed nieuws, want zij kunnen op het gepaste moment de toegang tot de server blokkeren.

Eén van de redenen waarom de vele Sober-varianten zo welig tieren, is dat het virus ten gepaste tijde nieuwe code downloadt. De vooralsnog onbekende auteur van Sober gebruikt deze functie om geïnfecteerde pc's in te zetten bij het versturen van spam of nieuwe versies van Sober.

Er zijn wel vaker virussen met een updatefunctie, maar bij Sober is de auteur zeer gewiekst te werk gedaan. Waar in het verleden updatebare virussen code afhaalden van één adres - wat gemakkelijk te blokkeren was - gaat Sober afhankelijk van de datum op een andere server kijken. Het virus gebruikt daarvoor een algoritme dat tot voor kort nog niet doorgrond was. Experts wisten dan ook niet van waar Sober op een gegeven dag code afhaalde.

"De auteur weet dat als hij een constant adres in de viruscode stopt, het snel geblokkeerd zal worden", legt de blog van F-Secure-expert Mikko Hyppönen uit. "In de plaats gebruikt Sober een algoritme om afhankelijk van de datum op pseudo-toevalsbasis URL's te genereren. Deze URL's wijzen naar gratis hostingservers in Duitsland en Oostenrijk - in 99 procent van de gevallen naar onbestaande URL's." De maker van Sober kan die URL's natuurlijk zelf berekenen; wil hij de geïnfecteerde pc's updaten, moet hij gewoon die URL registeren en zijn code klaarzetten.

De doorbraak betekent dat experts nu weten welke server op vijf januari nieuwe code aan geïnfecteerde pc's gaat aanreiken. Verwacht werd dat op die dag de geschatte tienduizenden met Sober geïnfecteerde pc's massaal spam zouden versturen. Beveiligingsfirma iDefense gelooft dat de mails zelfs een neonazistische boodschap gaan bevatten, omdat 5 januari de verjaardag is van de oprichting van de NSDAP-partij van Hitler.

Of er echt een link is tussen Sober en neonazi's is nog niet bewezen. Het is wel zo dat vorig jaar een oudere Sober-variant verantwoordelijk was voor een stortvloed aan Duits-nationalistische propagandamails. En er zijn correlaties mogelijk tussen hoogdagen uit de nazi-geschiedenis en data in de Sober-viruscode, maar dat kan toeval zijn, zegt de LURHQ Threat Intelligence Group. "Totdat de Sober-auteur zijn bedoelingen duidelijk maakt of aangehouden wordt, kunnen we er enkel over speculeren." Lees meer artikels over : sober, nazi, hyppönen, virus, spam

bron: ZDNet