F-Secure、Soberワーム「兵器庫」のURLを解析

[ITmedia]

　2006年1月5日に攻撃を開始するSober.Y ワームが攻撃に使うファイルを置くアドレスを、セキュリティ企業のF-Secureが解析、公開した。

　ナチスの創立87周年記念日でもある1月5日以降、このワームは特定アドレスからファイルをダウンロードして実行するようプログラムされている。F-Secureではこのワームがダウンロードに用いるアドレスが日付と連動して疑似ランダム化されていることに着目し、その解析に取り組んだ。

　現時点では解析されたURLのほとんどが存在しないものだが、F-Secureでは、これらのアドレスはドイツやオーストリアの無料ホスティングサーバ上のもので、攻撃実行直前にこのアドレスが登録され、攻撃用のファイルが置かれる計画だと推測している。

　F-Secureは5月の段階で既にダウンロード用URLの分析を終えており、想定されるURLについてドイツ警察に通報済みだという。F-Secureによれば、ダウンロードURLは14日周期で変更される仕組み。

　F-Secureは同社のブログでこれらのURLを公開しており、ファイアウォールでこれらのURLをブロックするようシステム管理者に警告している。