Connect with us

technokrata

Újra fertőz a többnyelvű Sober féreg

Dotkom

Újra fertőz a többnyelvű Sober féreg

A német és angol nyelven terjedő Sober féreg egy újabb, meglepően terjedékeny változata indult útjára a Világhálón.

A fertőzött e-mail tulajdonságai

Feladó: vagy a megfertőzött számítógépen található e-mailcímek egyikét alkalmazza, vagy pedig létrehoz egy olyan változatot, melynél a domain a célpont rendszer domainje, a név pedig az alábbiak egyike:
– Info
– FehlerMail
– Webmaster
– ReMailer
– Lisa
– Peter
– Michael
– Thomas
– Elke
– Susi
– Nadine
– Benutzer-Daten
– Information
– Service
– Hilfe
– Webmaster
– Hostmaster
– Postmaster
– User-Info

Tárgy, tartalom: német és angol nyelvű szöveget tartalmazhat; a tartalom végén gyakran található olyan szöveg, mely azt próbálja meg elhitetni a felhasználóval, hogy a levél vírusellenőrzésen esett át korábban

Csatolmány: a következők valamelyike, PIF, ZIP, SCR, BAT vagy COM kiterjesztéssel:
– stuff
– your_docs
– private
– ohyeah
– photo
– shock
– thatshard
– oh_no
– article
– more_infos
– ReMailer
– EM.
– mail
– check_this
– p_message
– yourmail
– idiot
– painfulness
– Jokers
– Kundeninfo
– ReMail
– EM.[címzett domainje]
– mail
– Jokes
– Kundeninfo
– Benutzer-Daten
– [címzett domainje]-tarif
– Antitext
– lese-das
– Aufpassen
– Tools
– daten
– Foto
– bild
– hallo.zip

A féreg paraméterei

Felfedezésének ideje: 2004. május 13.
Utolsó frissítés ideje: 2004. május 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 49.661 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat a System könyvtárban:
. bcegfds.lll
. cvqaikxt.apk
. datsobex.wwr: a féreg MIME-kódolt változata
. wincheck32.dats: a féreg által begyűjtött e-mailcímek listája
. winexpoder.dats: az e-mailcímek címzetteinek névlistája
. winzweier.dats: a féreg által véletlenszerűen generált e-mailcímek listája
. xdatxzap.zxp: a féreg MIME-kódolt változata
. zhcarxxi.vvx
. NoSpam.readme: német nyelven írt szöveges állomány
– amennyiben a rendszer nincs az Internetre csatlakozva, létrehozza a C meghajtó gyökerében a WinsockError.log file-t, és megjelenít egy Winsock Error fejlécű álhibaüzenetet
– megszerzi a következő webcímekhez tartozó IP-címeket egy előre eltárolt DNS-lista segítségével:
. microsoft.com
. bigfoot.com
. yahoo.com
. t-online.de
. google.com
. hotmail.com
– felmásolja magát a System könyvtárba egy véletlenszerűen választott file-néven
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név].exe %1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce Registry kulcshoz
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– a 376-os TCP porton megkísérli felvenni a kapcsolatot a következő URL-eken található PC-kkel:
. ntps1-1.cs.tu-berlin.de
. ntp2.fau.de
. Rolex.PeachNet.edu
. ptbtime2.ptb.de
. time.nrc.ca
. ntp.metas.ch
. ntps1-0.cs.tu-berlin.de
. ntp0.fau.de
. timelord.uregina.ca
. ntp-1.ece.cmu.edu
. ptbtime1.ptb.de
. time.ien.it
. ntp3.fau.de
. time.chu.nrc.ca
. clock.psu.edu
. ntp1.fau.de
– az alábbi oldalakról letölt és a System könyvtárba doerkggg.exe néven elment egy állományt, amit le is futtat:
. scifi.pages.at
. free.pages.at
. home.pages.at
. people.freenet.de
. home.arcor.de
– felméri a rögzített meghajtókat a rendszeren, majd ezeken e-mailcímek után kutat, a következő kiterjesztéssel bíró állományokban: .abd, .abx, .adb, .asp, .dbx, .doc, .eml, .ini, .log, .mdb, .php, .pl, .rtf, .shtml, .tbb, .ttt, .txt, .wab, .xls
– elküldi önmagát saját SMTP-motorja révén a fenti címekre, kivéve, ha azok bizonyos sztringeket (például mozilla, @iana, @avp, @msn, icrosoft., @spiegel., @sophos, @panda, @kaspers) tartalmaznak



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek