Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 13/12/2005
Mail-ormen Sober opdaterer sig selv ved at besøge web-adresser, der skifter med datoen. Næste opdatering sker den 6. januar.Sikkerhedsforskere fra Idefense har tidligere oplyst, at Sober ville opdatere sig den 5. januar på årsdagen for det tyske nazipartis stiftelse. Men de havde læst forkert i mail-ormens programkode, den opdaterer sig først, når datoen er større end den 5. januar.
Sober opdaterer sig ved at hente ny programkode fra websteder. Antivirusfirmaet F-Secure har regnet ud, hvilke websteder den henter programmer fra. Deres adresser skifter med datoen.
På den måde kan man ikke umiddelbart ud af ormens programkode læse de adresser, den besøger. De bliver beregnet ud fra en algoritme, som ormens forfatter har opfundet. Det giver ormeforfatteren mulighed for i god tid at registrere de domænenavne, som hans orm vil beregne sig frem til, så de kan være klar på den dato, hvor den skal opdateres.
Sikkerhedsfirmaet Lurhq har regnet sig frem til, på hvilke datoer forskellige Sober-varianter forsøger at opdatere sig selv.