12 ธันวาคม 2548 เวลา 08:31
ผู้เชี่ยวชาญจาก iDefense ให้ความเห็นว่า คุณสมบัติเด่นของการทำงานที่ทำให้ Sober เป็นหนอนที่อันตรายมากก็คือ มันสามารถดาวน์โหลดสายพันธุ์ใหม่ เพื่อเพิ่มจำนวนเครื่องที่ติดหนอนไวรัสได้อย่างง่ายดาย โดยสายพันธุ์ล่าสุดคาดว่าจะกระตุ้นให้หนอนทำงานอีกครั้งในวันที่ 5 มกราคม 2006
รูปแบบการดาวน์โหลดทำให้นักวิจัยแอนตี้ไวรัสต้องใช้เวลา เนื่องจาก URL ที่ใช้ในการดาวน์โหลดอัพเดตถูกสร้างขึ้นด้วยอัลกอริธึมที่ลึกลับซับซ้อน “หนอน Sober จะมีการใช้อัลกอริธึมในการสร้าง URL ด้วยวิธีการสุ่มเทียม (pseudorandom) ซึ่งจะเปลี่ยนแปลงตามวันที่ โดย URL เหล่านี้จะชี้ไปยังเซิร์ฟเวอร์ที่ให้บริการโฮสต์ฟรีที่อยู่ในประเทศเยอรมัน หรือในออสเตรเลีย ผู้เขียนไวรัสสามารถคำนวณ URL (ที่ใช้ติดต่อเข้าไปอัพเดตหนอน Sober) ในแต่ละวันได้ล่วงหน้า และเมื่อเข้าต้องการสั่งให้มีการทำงานบางอย่างบนเครื่องคอมพิวเตอร์ที่ติด ไวรัสทั้งหมด เขาก็เพียงแค่ลงทะเบียน URL ที่เหมาะสมเข้าไป (URL ที่ตรงกับการสุ่ม) จากนั้นอัพโหลดโปรแกรม เท่านี้หนอน Sober ก็จะทำงานตามที่เขาต้องการแล้ว โดยมันจะสามารถรันโค้ดไวรัสบนคอมพิวเตอร์ที่ตกเป็นเหยื่อหลายแสนเครื่อง” Mikko Hypponen ผู้จัดการฝ่ายวิจัยแอตนี้ไวรัสจาก F-Secure กล่าว F-Secure กล่าวว่า ทางบริษัทได้ถอดอัลกอริธึมดังกล่าวได้แล้ว ซึ่งทำให้บริษัทสามารถคำนวณ URL ที่หนอนพยายามจะดาวน์โหลดโค้ดอัพเดตตัวเอง ด้วยวิธีนี้ ผู้ให้บริการโฮสต์จะสามารถกันไม่ให้เว็บไซต์ดังกล่าวอัพเดตหนอน Sober ได้ ในขณะเดียวกัน ทางฝ่ายไอทีของบริษัทต่างๆ ก็จะสามารถป้องกันไม่ให้เครื่องคอมพิวเตอร์ที่ติดหนอนเข้าถึงเว็บไซต์อัพเด ตหนอน Sober ด้วยไฟร์วอล โดยใช้รายชื่อ URL ที่คำนวณได้ ปัจจุบันหนอน Sober จะใช้เว็บไซต์ 15 แห่งด้วยชื่อต่างๆ ที่ประกอบขึ้นข้อความที่เป็นตัวอักษรเท่านั้น (ตัวอย่างเว็บไซต์ ที่ใช้สำหรับอัพเดตหนอน Sober) โดยจะลงทะเบียนกับผู้ให้บริการเปิดเว็บไซต์ฟรี และทุกๆ 14 วันรายชื่อ URL จะถูกเปลี่ยนแตกต่างกันไปทั้ง 15 เว็บไซต์ โดยการเปลี่ยนแปลงครั้งแรกจะเกิดขึ้นในวันที่ 6 มกราคมปีหน้า Hypponen กล่าวว่า F-Secure ถอดรหัสอัลกอริธึมได้ตั้งแต่เดือนพฤษภาคม 2005 แต่ไม่เปิดเผยออกมาจนกระทั่งถึงวันนี้ เพื่อไม่ให้ผู้เขียนไวรัสไหวตัวทัน
