Sober – angol és német nyelvű féregvírus van terjedőben

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen válogat egy előre elkészített adatbázisból, néhány példa:
– George W. Bush wants a new war
– George W. Bush plans new wars
– Have you been hacked?
– You Got Hacked
– Hihi, ich war auf deinem Computer
– Der Kannibale von Rotenburg
– Du bist Ge-Hackt worden
– Ich habe Sie Ge-hackt
Csatolmány: az alábbiakból egy:
– allfiles.cmd
– Daten-Text.pif
– DateiList.pif
– Server.com
– yourlist.pif
– www.gwbush-new-wars.com
– www.hcket-user-pcs.com

A féreg paraméterei

Felfedezésének ideje: 2003. december 18.
Utolsó frissítés ideje: 2003. december 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba két véletlenszerűen választott file-néven
– a rendszeren található állományokból kigyűjti és a fenti állományba menti az e-mailcímeket (melyeket a System könyvtárban található mscolmon.ocx file-ban tárol)
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név.exe] bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– megjelenít egy Error fejlécű, Header is missing szövegű álhibaüzenetet
– saját SMTP-motorja segítségével továbbítja magát a megszerzett e-mailcímekre