Nová varianta viru Sober (objevuje se označení H, I a J)se v dnes ráno začala hromadně šířit v Německu, Francii a Austrálii, uvádí to společnost TrendMicro. Podobně jako většina moderních virů, využívá Sober napadený počítač k získání elektronických adres, které posléze zneužívá k falšování adres odesílatele v e-mailech, jenž rozesílá na další počítače. Může se vám tak klidně stát, že vám dorazí e-mail s vaším vlastním jménem v adrese odesílatele.
Pro falšování této adresy také využívá další systém, kdy kombinuje falešné jméno s doménou příjemce. Jako příklad může sloužit adresa, která by v našem případě mohla vypadat následujícím způsobem: Webmaster@technet.cz.Seznam falešných jmen, které vir vkládá před doménu je následující:
Info FehlerMail Webmaster ReMailer Lisa Peter Michael Thomas Elke Susi Nadine Benutzer-Daten Information Service Hilfe Webmaster Hostmaster Postmaster User-Info |
Další identifikační znaky viru
V předmětu zavirované zprávy můžete objevit některý z následujících vzkazů, které navíc mohou být doplněny o výraz FwD:
Achtung!gefährlicherVirus! ups, i've got your mail |
Samotná zpráva pak využívá množství textů, které lze roztřídit do německé a anglické verze. V případě, že je součástí zprávy e-mailová nebo internetová adresa, je doplněna doména odesílatele.
V německé verzi můžete objevit tyto zprávy:
Man hört und sieht nikkes mehr von Dir! Da Sie uns Ihre Pers Viel Spass mit unserem Angebot --- Im I-Net unter: http://www.. Weitere Informationen erhalten Sie unte Ende der Mitteilung Wir bitten dies zu ber Auto-ReMail.System#: [] Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eineÄnderung bezüglich Ihrer Account Daten vornehmen. Ihre neuen Account Daten finden Sie im beigefügten Dokument. Vielen Dank für Ihr Verständnis. --- GmbH & Co. KG --- Mail-To: Service@.com --- www. Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist. Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können. Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument. Hochachtungsvoll R. Peters ### Peters Multi- Media GmbH ### www. Der ist wirklich gefährlich! Achte auf die Infos im Anhang!!! Ciao! Viel Spaßdamit ;) Cu! Wenn Du genauso fühlst, dann schau dir bitte den Anhang an. Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir sonst zu peinlich ..... |
Anglická verze má podobné množství variant:
well here is ur stuff! good luck! cya! well cya soon Who could suspect something like that? shit ive found a shity virus on my pc. yo must check your pc! follow the steps in this article. bye Information about -- - under: http://www. End Auto-ReMail.System#: [] For further details see the attachment. *** Error: llegal signs in Mail-Routing *** Mail-Server: ESMTP V i've read this mail ,,, sorry about that excuse for my bad english, but I'm a Dutchman (or, excuse for my bad english, but I'm a Swede!) cya |
Existují i univerzálnější verze, kterým bude rozumět i ten, kdo se angličtinou ani němčinou příliš neztotožňuje. Tělo jejich zprávy pak obsahuje pouze pár znaků:
K takovému textu zprávy může být ještě připojen doplněk v podobě kombinace některých z následujících textů:
|
Pro anglickou verzi pak:
|
Samotný vir se pak skrývá v příloze, jejíž jméno může být složeno buď z koncovky .bat, .com, .exe, .pif, .zip, .scr a z následujících výrazů:
Antitext article Aufpassen Benutzer-Daten bild daten EM. Foto hallo.zip check_this idiot im_shocked Jokers Jokes Kundeninfo lese-das more_infos oh_no ohyeah p_message painfulness photo private ReMail ReMailer shock stuff -tarif thats_hard thatshard Tools your_docs yourmail |
Nebo je ve formátu, který má na začátku doménu příjemce (tedy vaší) za kterou následuje první koncovka, za níž je další koncovka .zip. Výsledek pak může vypadat takto: technet.txt.zip. První koncovka přitom čerpá z této nabídky:
.txt .doc .word .xls .eml .TXT .DOC .EML |
Další projevy viru
V případě, že je vir spuštěn, může se na obrazovce objevit následující chybová hláška z okna WinZip Self-Extractor:
:
WinZip_Data_Module is missing ~Error: {2A0DCCF6} |
Vedle toho, že se vir při spuštění nainstaluje do počítače, pokouší se také stáhnout z internetu další soubory a spustit je.
V obraně proti virové havěti by vám mohly pomoci rady, které se objevily v seriálu Týden proti virům. Všeobecně platí, že je potřeba mít aktualizovanou virovou databázi vašeho antivirového programu a také byste měli mít záplatované programy, které používáte.