Connect with us

technokrata

Sober – többnyelvű féregvírus terjed

Dotkom

Sober – többnyelvű féregvírus terjed

A fertőzött e-mailek szétküldésére saját SMTP-motorral bíró Sober féreg két nyelven is szólhat áldozatához: angolul és németül egyaránt arra buzdítja a felhasználót, hogy az nyissa meg a fertőzött levelet.

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen válogat egy előre elkészített adatbázisból, néhány példa:
– Neuer Virus im Umlauf!
– Sie versenden Spam Mails (Virus?)
– Ein Wurm ist auf Ihrem Computer!
– Langsam reicht es mir
– Sie haben mir einen Wurm geschickt!
– Hi Schnuckel was machst du so ?
– VORSICHT!!! Neuer Mail Wurm
– Re: Kontakt
– RE: Sex
– Sorry, Ich habe Ihre Mail bekommen
– Hi Olle, lange niks mehr gehört!
– Re: lol
– Viurs blockiert jeden PC (Vorsicht!)
– Überraschung
– Ich habe Ihre E-Mail bekommen !
– Jetzt rate mal, wer ich bin !?
– Neue Sobig Variante (Lesen!!)

Néhány példa a fertőzött e-mailek tartalmára és csatolmányaira:

Tartalom:
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
Mit freundlichen Grüßen:
[feladó]
Csatolmány: AntiVirusDoc.pif

Tartalom:
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
Sie sollten mit dem Patch-Programm testen,
ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
löschen zu lasseg
Niks wie ungut!
Csatolmány: Check-Patch.bat

Tartalom:
Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
unbemerkt auf vielen Computern ausbreiten!
Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt,
den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat!
Sie sollten auf jeden Fall das [eltávolító eszköz] benutzen um ggf. den Wurm zu entfernen!
Nachrichten[ID]: [véletlenszám]
Csatolmány: Removal-Tool.exe

Tartalom:
Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
unbemerkt auf vielen Computern ausbreiten!
Der Wurm versteckt sich im Bildschirm-Schoner!
In der -Screen_Doku- Dokumentation lesen Sie, wie Sie den Wurm
mit wenigen Schritten das Handwerk legen können.
Robot
Csatolmány: Screen_Doku.scr

Tartalom:
Ich habe jetzt schon zum
mal, eine Mail die an Sie
Adressiert ist bekommen!
Ähmm… *hust* der Anhang oder besser gesagt, die Dokumentation
muss Ihnen aber nicht Peinlich sein ! *grins*
Csatolmány: Perversionen.scr

A féreg paraméterei

Felfedezésének ideje: 2003. október 24.
Utolsó frissítés ideje: 2003. október 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 63.488 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy Error fejlécű, File not complete! szövegű álhibaüzenetet
– felmásolja magát a System könyvtárba Similare.exe és egy véletlenszerűen választott file-néven
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név.exe] bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehozza a következő file-t a System könyvtárban: /Macromed/Help/Media.dll
– a rendszeren található állományokból kigyűjti és a fenti állományba menti az e-mailcímeket
– saját SMTP-motorja segítségével továbbítja magát a megszerzett e-mailcímekre
– érdekesség, hogy a NOD32 a férget heurisztikája segítségével is megtalálja, tehát nincs szükség vírusadatbázis-frissítésre (ettől függetlenül a NOD32 adatbázisában 2003. október 24-e óta szerepel a féreg)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek