Německý vir Sober.F zaplavuje především Evropu

Virovou novinku Sober.F zaznamenaly antivirové společnosti již v sobotu, ale tehdy se nejevila jako příliš nebezpečná. Avšak již v neděli například bezpečnostní společnost Symantec posunula tento vir o jednu příčku nahoru. Zemí původu tohoto viru je označováno Německo a proto se doposud největšího rozšíření dočkal na evropském kontinentu. Šíří se v německé a anglické verzi.

Jak poznat zprávu se Sober.F?

Bohužel i tento vir falšuje adresu odesílatele, takže zavirovaný e-mail může klidně přijít z jakoby důvěryhodného zdroje. Předmět zprávy pak podle jazykové verze e-mailu může využívat tyto texty:

Bad Gateway
Best
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Details
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Na,
Oh my God
Registrierungs-Best
Ung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprise?!
Your document
Your mail account
Your mail-account
Your password

Při otevření e-mailu (doporučujeme jej ale raději rovnou smazat) si uživatel může uživatel přečíst některou z těchto zpráv:

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte
attach:
AMD-System.txt
* End Transmission
--- Web: http://www.(název vaší domény)
--- Mail To: User-Hilfe

***
Mail- Anhang: Keine verd
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
Virenschutz
*** http://www.(název vaší domény)

67.28.114.32_failed_after_I_sent_the_message./
Remote_host_said:_554_delivery_error:_dd_
Sorry_your_message_cannot_be_delivered._
This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission

All OK :)
see, what i've found!

Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Dokument
KurzText

AntiVirus-Text
Anleitung
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment
Dokumente
Text-Inhalt

Benutzer-Daten
Wegen eines Datenbank- Fehlers k
Wenn Sie Unregelm
Vielen Dank f
+++ Ein Service von
+++ http://www .(název vaší domény)
+++ E-Mail: Kundenservice

Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Follow the instructions to read the message.
Please read the document

hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye

I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result!

I was surprised, too! :-(
Who could suspect something like that?
shock

Ich war auch ein wenig
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
Liste
Schwarze-Liste

Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!

Passwort und Benutzername wurde erfolgreich ge
Ihre Benutzernamen und Passw
++++ Im www erreichbar unter: http://www.(název vaší domény)
++++ E-Mail: KundenInfo

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home

Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.(název vaší domény)
++++ Mail To: User-info

Samotný vir s příponou .PIF nebo .ZIP se pak skrývá v příloze, která nese některý z následujících názvů:

Administrator
AMD-System.txt
anitv_text
AntiVirus-Text
attach-message
AutoMailer
Benutzer-Daten
block-lists
check_this
corrected_text-file
database_partial
database
Datenbank_Auszug
Datenbank-Fehler
dokument
Error_Info
error
error-message
Fehler-Info
help
instructions
kurztext
message
Money-Help
partial
pass-message
pmessage-text
RobotMailer
Schwarze-Liste
textdocument
Text-Inhalt
User-info
webmaster
your_article
your_passwords

Tento název může být navíc doplněn změtí čísel či výrazem _attach.

V případě otevření virové přílohy se vir usídlí v počítači, zajistí si spuštění při každém startu počítače. Také prohledá počítač s cílem najít e-mailové adresy, na něž se může rozesílat, a na ně pak zašle zavirovanou zprávu. Pokud není napadený počítač aktuálně připojen k internetu, pokusí se vir využít všech dostupných vytáčených (dial-up) připojení. Když se mu to nezdaří, může se objevit tato zpráva:

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

Pokud tedy na základě předchozích indicií získáte podezření, že vám přišel tento vir, bez váhání jej smažte. Bez aktuální virové databáze ve vašem antivirovém programu a záplatovaného systému se již v podstatě neobejdete.

Jak se bránit? Přečtěte si náš článek Deset pravidel pro účinnou antivirovou ochranu.