Tegnap megjelent a legújabb Sober variáns, a W32/Sober.k@MM féreg. Az új, UPX csomagolású variáns egyaránt közepes veszélyt jelent az otthoni és a vállalati felhasználók számára.

A féreg lefutásakor az alábbi üzenet jelenik meg a jegyzettömbön:


A féreg ekkor bemásolja magát a Windows rendszerkönyvtárba véletlenszerű, de mindig .exe kiterjesztésű fájl formájában. A véletlenszerű név mindig az alábbi karaktersorozatok kombinációja: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32, például C:\WINDOWS\SYSTEM32\SYSSPOOLDISC.EXE

Az alábbi fájlokat helyezi el a Windows rendszerkönyvtárban:

DATAMX.DAM (a begyűjtött e-mail címeket tartalmazza)

DGSFZIPP.GMX (59 504 bájt, a féreg másolata ZIP-ben)

Ezután a vírus a rendszerleíró adatbázisban létrehozza az alábbi kulcsokat, hogy a következő indításkor betöltse magát:

HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe

Ezek a kulcsok természetesen a generált fájlnévtől függően változnak! A vírus emellett a rendszerkönyvtárban létrehozza a következő fájlokat is: dgssxy.yoi (0 bájt), nonrunso.ber (0 bájt), Odin-Anon.Ger (0 bájt), sysmms32.lla (0 bájt).

A vírus e-mailen terjed. A féreg a fertőzött gépen található, összegyűjtött e-mail címeket a Windows rendszerkönyvtárában elhelyezett alábbi DATAMX.DAM fájlban tárolja, például C:\WINNT\SYSTEM32\DATAMX.DAM. A vírus egy angol vagy német nyelvű szöveget készít.