Det næste udbrud af e-mailormen Sober er planlagt til 5. januar 2006, viser analyser af tidligere varianter af ormen, som flere sikkerhedsfirmaer har gennemført.
Både iDefense og F-Secure peger således på denne dato som den næste aktiveringsdato.
Tidligere varianter har indeholdt en indbygget "dødsdato", hvor ormen holdt op med aktivt at sprede sig.
I den seneste variant har eksperterne altså fundet den dato, hvor den aktiverer sig selv til næste angreb.
5. januar 2006 vil ormen på de inficerede Windows-pc'er forsøge at forbinde til en række servere og hente en opdatering, der kan bruges til spredning af en ny variant.
Men selvom sikkerhedsfirmaer nu ved, hvornår ormen vil slå til igen, så er det ikke nødvendigvis blevet lettere at forhindre et nyt udbrud.
Ifølge F-Secure benytter Sober sig nemlig af en algoritme til at generere en lang stribe forskellige internetadresser, som afhænger af datoen.
Adresserne peger på gratis webservere i Tyskland og Østrig, men 99 procent af adresserne findes ikke, skriver teknisk chef Mikko Hypponen fra F-Secure på selskabets weblog.
Med algoritmen i hånden kan bagmanden beregne, hvilke adresser ormen vil generere på en given dato og registrere de adresser i al ubemærkethed.
- Han registrerer blot den rigtige URL, uploader sig program og BANG! Så kører det på hundredetusinder af inficerede maskiner, skriver Mikko Hypponen.
Ifølge F-Secure knækkede firmaet allerede algoritmen i maj og tog kontakt til myndighederne i Tyskland og de relevante internetudbydere.
Med algoritmen kan myndigheder og sikkerhedseksperter nemlig kigge bagmanden i kortene og se, hvilke adresser der vil blive brugt på en given dato.
Den primære funktion for Sober er formentligt at oprette et netværk af inficerede pc'er, som kan sælges videre til kriminelle til spam, phishing eller pengeafpresning.
Sober har imidlertid tidligere været brugt til at distribuere nynazistisk propaganda, hvilket har fået iDefense til at kæde den næste aktiveringsdato sammen med årsdagen for stiftelsen af nazistpartiet.
http://www.f-secure.com/weblog/archives/archive-122005.html#00000729
http://www.idefense.com/application/newscenter/recentreleases/display?id=33&flashstatus=true