Drtivý nástup nového viru

Nová varianta viru Sober (objevuje se označení H, I a J)se v dnes ráno začala hromadně šířit v Německu, Francii a Austrálii, uvádí to společnost TrendMicro. Podobně jako většina moderních virů, využívá Sober napadený počítač k získání elektronických adres, které posléze zneužívá k falšování adres odesílatele v e-mailech, jenž rozesílá na další počítače. Může se vám tak klidně stát, že vám dorazí e-mail s vaším vlastním jménem v adrese odesílatele.

Pro falšování této adresy také využívá další systém, kdy kombinuje falešné jméno s doménou příjemce. Jako příklad může sloužit adresa, která by v našem případě mohla vypadat následujícím způsobem: Webmaster@technet.cz.

Seznam falešných jmen, které vir vkládá před doménu je následující:

Info FehlerMail Webmaster ReMailer Lisa Peter Michael Thomas Elke Susi Nadine Benutzer-Daten Information Service Hilfe Webmaster Hostmaster Postmaster User-Info

Další identifikační znaky viru

V předmětu zavirované zprávy můžete objevit některý z následujících vzkazů, které navíc mohou být doplněny o výraz FwD:

Achtung!gefährlicherVirus! BestellungsBestätigung Confirmation damn! DBase Error DeinZeug's! Delivery failure notice Details DieTools! error in dbase ESMTPError FalscheMailzustellung Faulty mail delivery FehlerinIhrerE-Mail hey dude! hi there Hi,seivorsichtig! Hierfürdich^^ IhreE-Mailwarfehlerhaft IhrneuerAccount Ichhabemichindichv Illegal signs in E-Mail Informationvon Invalid mail length Lieferungs-Bestätigung Life's a Bitch lol,wat'nlosey? Mail delivery failed Mail Delivery failure mail delivery status Mail_Fehler Mailing Error NeueAccountDaten Oh God it's Ok,hieristmein Registration confirmation Rechnung Schongehört? Siehabennichtgezahlt Smiling Like a Killer Sorry, that's your mail UngültigeVariableninihrerE-Mail ups, i've got your mail Verbindungwurdegetrennt Warning! wazzup!!! why do you do that? yeah dude :P Your mail account Your Password Confirmation Delivery_failure_notice Details Faulty_mail delivery illegal signs in your mail invalid mail mail delivery system Mail delivery_failed Mail Error Mail_Delivery_failure Oh God it's Registration confirmation Your mail password Your Password

Samotná zpráva pak využívá množství textů, které lze roztřídit do německé a anglické verze. V případě, že je součástí zprávy e-mailová nebo internetová adresa, je doplněna doména odesílatele.

V německé verzi můžete objevit tyto zprávy:

Man hört und sieht nikkes mehr von Dir! Haste D.e.i.n.e. Tage oder so?;) Wäre mal sehr nett von dir, wenn Du mal was von dir hören laaaasssssen tutest(tut tut)! bis spaeeeter mal Diese Information ist Passwort gesch Da Sie uns Ihre Pers Viel Spass mit unserem Angebot --- Im I-Net unter: http://www.. Diese E-Mail wurde automatisch erzeugt. Weitere Informationen erhalten Sie unte Folgende Fehler sind aufgetreten: Ende der Mitteilung Das diese E-Mail automatisch generiert Wir bitten dies zu ber Auto-ReMail.System#: [] Guten Tag! Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eineÄnderung bezüglich Ihrer Account Daten vornehmen. Ihre neuen Account Daten finden Sie im beigefügten Dokument. Vielen Dank für Ihr Verständnis. --- GmbH & Co. KG --- Mail-To: Service@.com --- www. Guten Tag, Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist. Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können. Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument. Hochachtungsvoll R. Peters ### Peters Multi- Media GmbH ### www. Hi... ich wollte dir schnell mal mitteilen, dass sich ein gefährlicher Virus/Trojaner über Internet Seiten verbreitet. Der ist wirklich gefährlich! Achte auf die Infos im Anhang!!! Ciao! Hey alles klar? Hier sind die Tools die du haben wolltest! Viel Spaßdamit ;) Cu! Weitere Informationen befinden sich im Anhang dieser Mail Da Du mir dein Foto geschickt hast, hier nun ein Bild von mir! Ja, leider kann ich es nichtändern aber es ist so. Wenn Du genauso fühlst, dann schau dir bitte den Anhang an. Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir sonst zu peinlich .....

 

Anglická verze má podobné množství variant:

yo wazzup :P well here is ur stuff! good luck! cya! hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude! well cya soon nice pic u send me! here is mine! I was surprised, too! :-(?? Who could suspect something like that? shit hey dude!# ive found a shity virus on my pc. yo must check your pc! follow the steps in this article. bye Your password was changed successfully. Protected message is attached. This e-mail was generated automatically. Information about -- - under: http://www. Errors: End The full mail is attached. Auto-ReMail.System#: [] Anybody use your accounts and (or) passwords! For further details see the attachment. *** Partial message is available! *** Error: llegal signs in Mail-Routing *** Mail-Server: ESMTP V i'm very very sorry, anybody have sent your mail to my account address.l I've got your mail, but its came on my mail address??? i've read this mail ,,, sorry about that excuse for my bad english, but I'm a Dutchman (or, excuse for my bad english, but I'm a Swede!) cya

Existují i univerzálnější verze, kterým bude rozumět i ten, kdo se angličtinou ani němčinou příliš neztotožňuje. Tělo jejich zprávy pak obsahuje pouze pár znaků:

### ???

K takovému textu zprávy může být ještě připojen doplněk v podobě kombinace některých z následujících textů:

X-MailScanner: Kein Virus gefunden X-Attachment_Scanner: NO VIRUS Anti-Virus Service: Es konnte kein Virus erkannt werden +-+-+ .- AntiVirus Service +-+-+ http://www.

Pro anglickou verzi pak:

Mail-Attachment: No Virus found X- Mail_Scaner: No Virus found Anti-Virus: No Virus +-+-+ - Antivirus Service > +-+-+ http://www.

Samotný vir se pak skrývá v příloze, jejíž jméno může být složeno buď z koncovky .bat, .com, .exe, .pif, .zip, .scr a z následujících výrazů:

Antitext article Aufpassen Benutzer-Daten bild daten EM. Foto hallo.zip check_this idiot im_shocked Jokers Jokes Kundeninfo lese-das mail more_infos oh_no ohyeah p_message painfulness photo private ReMail ReMailer shock stuff -tarif thats_hard thatshard Tools your_docs yourmail

Nebo je ve formátu, který má na začátku doménu příjemce (tedy vaší) za kterou následuje první koncovka, za níž je další koncovka .zip. Výsledek pak může vypadat takto: technet.txt.zip. První koncovka přitom čerpá z této nabídky:

.txt .doc .word .xls .eml .TXT .DOC .EML

Další projevy viru

V případě, že je vir spuštěn, může se na obrazovce objevit následující chybová hláška z okna WinZip Self-Extractor:
:

WinZip_Data_Module is missing ~Error: {2A0DCCF6}

Vedle toho, že se vir při spuštění nainstaluje do počítače, pokouší se také stáhnout z internetu další soubory a spustit je.

V obraně proti virové havěti by vám mohly pomoci rady, které se objevily v seriálu Týden proti virům. Všeobecně platí, že je potřeba mít aktualizovanou virovou databázi vašeho antivirového programu a také byste měli mít záplatované programy, které používáte.