Génie du crime

(Attention: article un petit peu technique).

F-Secure vient de comprendre le système de calcul d'URL du virus Sober.

Pour rappel: ce virus est capable de se mettre à jour tout seul en allant télécharger ses mises à jour (publiées par l'auteur du virus) sur un site web.

Mais si vous utiliser un site web avec un nom de domaine précis, et que vous l'enregistrez dans le virus, vous vous ferez bien entendu rapidement attraper par les autorités.

Le virus Sober utilise donc un système vicieux: il "calcul" des noms de domaines en fonction de la date.

L'auteur du virus connaît l'algorithme, et achète simplement le bon nom de domaine juste avant la bonne date, et paf !
Le virus vient télécharger ses mises à jour.

ça permet à l'auteur d'échapper aux autorités.
Et les responsables du système DNS ne sont pas capables de savoir quel domaine bloquer à l'avance (ou à surveiller).


La société F-Secure dit avoir enfin compris le mode de calcul de ces URLs.
ça devrait aider à choper l'auteur, ou bloquer le virus.


Mais bon, quand on voit le nombre de machines encore infectées par Sober ou même Blaster, on se dit que ces virus n'ont pas fini de venir faire "toc-toc !" sur nos firewalls.
Tout ça grâce aux internautes qui ne font jamais de WindowsUpdate. :-(



Source: http://it.slashdot.org/article.pl?sid=05/12/09/0644235&from=rss