Nový vir útočí a zneužívá jména FBI, CIA nebo Ebay

Od 19. listopadu koluje po internetu nová verze viru Sober, avšak teprve nyní její šíření nabralo na síle. Z toho důvodu mnohé antivirové firmy zvýšily hodnocení nebezpečnosti toho viru o jeden stupeň.

Nová varianta viru Sober se zatím nejvíce šíří v Austrálii, Německu, Nizozemí či ve Spojených státech, ale dá se předpokládat, že se bude šířit v ČR.

Vir se podle domény příjemce rozesílá ve dvou jazykových variantách. Pro Německo, Rakousko, Švýcarsko a jiné země s německy mluvícím obyvatelstvem je email s virem v němčině, v ostatních případech přichází na řadu anglická verze. Anglická verze přitom často podvrhuje odesílatele, jako by jím byla FBI nebo CIA.

Jak vír poznáte?

Jak již bylo naznačeno výše, vir podvrhuje adresu odesílatele, takže může mimo již zmíněných organizací nabídnout i adresu vám důvěryhodné osoby, nebo dokonce vaší vlastní.

První jistější identifikační indicií, je tedy text v předmětu zprávy. Ten má některou z následujících podob:

Anglická verze: Re:Your Password Re:Registration Confirmation smtp mail failed Mail delivery failed hi, ive a new mail address You visit illegal websites Your IP was logged Paris Hilton & Nicole Richie Německá verze: Ihr Passwort Account Information Mailzustellung wurde unterbrochen Ermittlungsverfahren wurde eingeleitet Sie besitzen Raubkopien RTL: Wer wird Millionaer Sehr geehrter Ebay-Kunde

Samotné tělo zprávy je také samozřejmě ve dvou jazykových mutací a obsahuje některou z následujících zpráv:

Anglická verze: Account and Password Information are attached! Protected message is attached! =====dHSd9SZd;99zZ((EEEA =====dw1W)6ZdzSL91WR ***** Go to: http://www.(doména odesílatele) ***** Email: postman Account and Password Information are attached! Visit: http:/ /www.[random domain] This is an automatically generated Delivery Status Notification. SMTP_Error [] I'm afraid I wasn't able to deliver your message. This is a permanent error; I've given up. Sorry it didn't work out. The full mail-text and header is attached! hey its me, my old address dont work at time. i dont know why?! in the last days ive got some mails. i' think thaz your mails but im not sure! plz read and check ... cyaaaaaaa The Simple Life: View Paris Hilton & Nicole Richie video clips , pictures & more ;) Download is free until Jan, 2006! Please use our Download manager. · Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites.lease answer our questions! The list of questions are attached. Yours faithfully, Steven Allison Department Office Admin Mail Post ===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@? ===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy *** Federal Bureau of Investigation -FBI- *** 935 Pennsylvania Avenue, NW, Room 3220 *** Washington, DC 20535 ++++ Central Intelligence Agency -CIA- ++++ Office of Public Affairs ++++ Washington, D.C. 20505 ++++ phone: (703) 482-0623 ++++ 7:00 a.m. to 5:00 p.m., US Eastern time Německá verze: Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang. *** http://www.(doména odesílatele) *** E-Mail: PassAdmin Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt. Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt. Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck. Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen. Vielen Dank, Ihr Ebay-Team Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR. (siehe Anhang) Hochachtungsvoll i.A. Juergen Stock --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 - 0 Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck. Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. +++ RTL interactive GmbH +++ Geschaeftsfuehrung: Dr. Constantin Lange +++ Am Coloneum 1 +++ 50829 Koeln +++ Fon: +49(0) 221-780 0 oder +++ Fon: +49 (0) 180 5 44 66 99

Samotný vir se pak skrývá v přiložením souboru, který je zabalen do formátu ZIP. Ten obsahuje soubor File-packed_dataInfo.exe.

Další akce viru

Pokud je vir spuštěn zobrazí hlášku WinZip Self-Extractoru, která obsahuje tento text: Error in packed HeaderPo napadení počítače kontroluje, zda je systém připojen k internetu a pokouší se kontaktovat některý z NTP serverů aby zjistil přesný čas.

Vir se také snaží zlikvidovat chod některých bezpečnostních programů a zastavuje chod předchozích variant viru Sober. Sbírá na počítači elektronické adresy a následně se rozesílá.

Opatrnost je na místě

Většina antivirových společností již nabízí virovou definici této novinky pro své programy

Nezapomeňte si tedy do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.