SG.hu
Újabb féregmutáció: itt a Sober újabb változata
Tegnap megjelent a legújabb Sober variáns, a W32/Sober.k@MM féreg. Az új, UPX csomagolású variáns egyaránt közepes veszélyt jelent az otthoni és a vállalati felhasználók számára.
A féreg lefutásakor az alábbi üzenet jelenik meg a jegyzettömbön:
A féreg ekkor bemásolja magát a Windows rendszerkönyvtárba véletlenszerű, de mindig .exe kiterjesztésű fájl formájában. A véletlenszerű név mindig az alábbi karaktersorozatok kombinációja: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32, például C:\WINDOWS\SYSTEM32\SYSSPOOLDISC.EXE
Az alábbi fájlokat helyezi el a Windows rendszerkönyvtárban: DATAMX.DAM (a begyűjtött e-mail címeket tartalmazza)
DGSFZIPP.GMX (59 504 bájt, a féreg másolata ZIP-ben)
Ezután a vírus a rendszerleíró adatbázisban létrehozza az alábbi kulcsokat, hogy a következő indításkor betöltse magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe
Ezek a kulcsok természetesen a generált fájlnévtől függően változnak! A vírus emellett a rendszerkönyvtárban létrehozza a következő fájlokat is: dgssxy.yoi (0 bájt), nonrunso.ber (0 bájt), Odin-Anon.Ger (0 bájt), sysmms32.lla (0 bájt).
A vírus e-mailen terjed. A féreg a fertőzött gépen található, összegyűjtött e-mail címeket a Windows rendszerkönyvtárában elhelyezett alábbi DATAMX.DAM fájlban tárolja, például C:\WINNT\SYSTEM32\DATAMX.DAM. A vírus egy angol vagy német nyelvű szöveget készít.
A féreg lefutásakor az alábbi üzenet jelenik meg a jegyzettömbön:
A féreg ekkor bemásolja magát a Windows rendszerkönyvtárba véletlenszerű, de mindig .exe kiterjesztésű fájl formájában. A véletlenszerű név mindig az alábbi karaktersorozatok kombinációja: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32, például C:\WINDOWS\SYSTEM32\SYSSPOOLDISC.EXE
Az alábbi fájlokat helyezi el a Windows rendszerkönyvtárban:
Ezután a vírus a rendszerleíró adatbázisban létrehozza az alábbi kulcsokat, hogy a következő indításkor betöltse magát:
Ezek a kulcsok természetesen a generált fájlnévtől függően változnak! A vírus emellett a rendszerkönyvtárban létrehozza a következő fájlokat is: dgssxy.yoi (0 bájt), nonrunso.ber (0 bájt), Odin-Anon.Ger (0 bájt), sysmms32.lla (0 bájt).
A vírus e-mailen terjed. A féreg a fertőzött gépen található, összegyűjtött e-mail címeket a Windows rendszerkönyvtárában elhelyezett alábbi DATAMX.DAM fájlban tárolja, például C:\WINNT\SYSTEM32\DATAMX.DAM. A vírus egy angol vagy német nyelvű szöveget készít.