Connect with us

technokrata

Újabb változat a Sober féregvírusból

Dotkom

Újabb változat a Sober féregvírusból

Ismét egy újabb variáns van terjedőben a Sober féregből, mely most német nyelvű e-maileken keresztül propagálja magát.

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen válogat egy előre elkészített adatbázisból, néhány példa:
– Betr: Klassentreffen
– Testen Sie ihren IQ
– Bankverbindungs- Daten
– Neuer Dialer Patch!
– Ermittlungsverfahren wurde eingeleitet
– Ihre IP wurde geloggt
– Sie sind ein Raubkopierer
– Sie tauschen illegal Dateien aus
– Ich hasse dich
– Ich zeige sie an!
– Sie Drohen mir!!
– Anime, Pokemon, Manga, Handy …
Csatolmány: az alábbiakból egy:
– www.iq4you-german-test.com
– www.freewantiv.com
– www.free4share4you.com
– www.onlinegamerspro-worm.com
– www.freegames4you-gzone.com
– www.anime4allfree.com
– www.animepage43252.com
– downloader.exe
– yourmail.[txt vagy doc].[bat, cmd, pif, scr, exe vagy com]
– alledigis.[bat, cmd, pif, scr, exe vagy com]

A féreg paraméterei

Felfedezésének ideje: 2003. december 20.
Utolsó frissítés ideje: 2003. december 20.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: (minimum) 74.346 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba két véletlenszerűen választott file-néven
– a rendszeren található állományokból kigyűjti és a fenti állományba menti az e-mailcímeket (melyeket a System könyvtárban található mscolmon.ocx file-ban tárol)
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név.exe] bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– megjelenít egy Microsoft fejlécű, ˝first˝ has caused an unknown error. Stop: 00000010×08 szövegű álhibaüzenetet
– saját SMTP-motorja segítségével továbbítja magát a megszerzett e-mailcímekre, a feladót előszeretettel hamisítja meg



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek