Světem se šíří nová varianta viru Sober. Některé firmy zabývající se počítačovou bezpečností ji označují jako Sober.O (Symantec), jiné jako Sober.N (Computer Associates, Sophos), setkat se také můžete se Sober.P (F-Secure, McAfee), či dokonce Sober.S (Trend Micro) a Sober.V(Panda).
Vir je zatím nejvíce rozšířen v Austrálii, Německu, Nizozemí či ve Spojených státech, ale dá se předpokládat, že se bude šířit v ČR.
Vir se podle domény příjemce rozesílá ve dvou jazykových variantách. Pro Německo, Rakousko, Švýcarsko a jiné země s německy mluvícím obyvatelstvem je email s virem v němčině, v ostatních případech přichází na řadu anglická verze.
Vir k rozesílání využívá adresy získané na již napadeném počítači. Z nich si však pro další šíření vybírá jen ty, které se nenacházejí na adrese, kterou má na svém black listu.
Pokud se některému nešťastníkovi podaří vir spustit, objeví se mu okno s chybovým hlášení. To obsahuje záhlaví s textem „
WinZip Self-Extractor“ a samotnou hlášku „
Error: CRC not complete“.
Samotný vir se při spuštění uloží do instalačního adresáře Windows ve zhruba dvacítce různých souborů s hlavním Services.exe. Zároveň si úpravou registrů zajistí, aby se spustil při každém zapnutí počítače.
Jak vir poznáte?
I když vir falšuje adresu odesílatele, používá v některých případech následující padělané adresy:
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster |
První jistější identifikační indicií, je tedy text v předmětu zprávy. Ten má některou z následujících podob:
Anglická verze:
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re:
Německá verze:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung |
Samotné tělo zprávy je také samozřejmě ve dvou jazykových mutací a obsahuje některou z následujících zpráv:
|
Anglická verze:
ok ok ok,,,,, here is it
Account and Password Information are attached! Visit: http:/ /www.[random domain]
This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached
Německá verze:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.(náhodná doména)
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
|
Zpráva je pak zakončena některým z těchto textů
|
Anglická verze:
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http://www.(náhodně vybraná doména)
Německá verze:
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www.(náhodně vybraná doména) |
Samotný vir se pak skrývá v některém z takto označených přiložených souborů:
|
Anglická verze:
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip
Německá verze:
LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip |
Další akce viru
Po napadení počítače kontroluje, zda je systém připojen k internetu tak, že se přes port 37 pokouší kontaktovat NTP server na adresách jako microsft.com, t-mobile.de, google.com, hotmail.com a jiné.
Vir se také pokouší zlikvidovat chod bezpečnostních programů typu antivir či firewall.
Opatrnost je na místě
Většina antivirových společností již nabízí virovou definici této novinky pro své programy
Nezapomeňte si tedy do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho
speciálu o virech.
