Connect with us

technokrata

Újabb Sober variáns terjed

Dotkom

Újabb Sober variáns terjed

A Sober féreg L változata kezdte meg az “életét” a minap, érdekessége, hogy angolul és németül is “beszerezhető”.

A fertőzött e-mail jellemzői

Két változata létezik, egy angol és egy német. A feladó mindkét variáns esetén meg van hamisítva.

Német változat

Tárgy: Ich habe Ihre E-Mail bekommen!
Tartalom: Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss
Csatolmány: MailTexte.zip

Angol változat

Tárgy: Your Password & Account number
Tartalom: hi,
i´ve got an admin mail with a Password and Account info!
but the mail recipient are you! it´s probably an esmtp error, i think.
i´ve copied the full mail text in the Windows text-editor & zipped.
ok, cya…
Csatolmány: acc_text.zip

Megjegyzés: a csatolmányon belül egy pif kiterjesztésű állomány található, ez tartalmazza a férget

A féreg paraméterei

Felfedezésének ideje: 2005. március 7.
Utolsó frissítés ideje: 2005. március 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 45.222 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat:
. [Windows elérési útvonala]/msagent/system/smss.exe
. [Windows elérési útvonala]/msagent/system/emdata.mmx
. [Windows elérési útvonala]/msagent/system/zipzip.zab
. [System elérési útvonala]/nonrunso.ber
. [System elérési útvonala]/xcvfpokd.tqa
. [System elérési útvonala]/stopruns.zhz
– hozzáadja a Services.dll=[Windows elérési útvonala]/msagent/system/smss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a féreg minden rendszerindításkor betöltődik a memóriába
– leellenőrzi a hálózati kapcsolatot a 37-es porton keresztül egy NTP szerverhez való kapcsolódással; vagy megpróbál a következő domainek egyikéhez csatlakozni: microsoft.com, bigfoot.com, yahoo.com, t-online.de, google.com, hotmail.com
– amennyiben a számítógép éppen offline állapotban van, megkísérel betárcsázni és Internet-kapcsolatot létrehozni
– különböző állományokból e-mailcímeket gyűjt, mely keresés eredményét a Windows/msagent/system/emdata.mmx file-ban tárolja el
– e-mailt küld minden olyan címre, amelyhez hozzájutott, kivéve néhány olyat, amelyet a féreg alkotója veszélyesnek ítélt meg a féreg számára (néhány példa: @kaspers, @messagelab, @nai., @panda stb.)
– megkísérli leállítani azon futó process-eket, melyek a következő sztringek valamelyikét tartalmazzák: gcas, gcip, giantanti, hijackthis, stinger



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek