SG.hu

Újabb féregmutáció: itt a Sober újabb változata

Tegnap megjelent a legújabb Sober variáns, a W32/Sober.k@MM féreg. Az új, UPX csomagolású variáns egyaránt közepes veszélyt jelent az otthoni és a vállalati felhasználók számára.

A féreg lefutásakor az alábbi üzenet jelenik meg a jegyzettömbön:


A féreg ekkor bemásolja magát a Windows rendszerkönyvtárba véletlenszerű, de mindig .exe kiterjesztésű fájl formájában. A véletlenszerű név mindig az alábbi karaktersorozatok kombinációja: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32, például C:\WINDOWS\SYSTEM32\SYSSPOOLDISC.EXE

Az alábbi fájlokat helyezi el a Windows rendszerkönyvtárban:
  • DATAMX.DAM (a begyűjtött e-mail címeket tartalmazza)
  • DGSFZIPP.GMX (59 504 bájt, a féreg másolata ZIP-ben)

    Ezután a vírus a rendszerleíró adatbázisban létrehozza az alábbi kulcsokat, hogy a következő indításkor betöltse magát:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe

    Ezek a kulcsok természetesen a generált fájlnévtől függően változnak! A vírus emellett a rendszerkönyvtárban létrehozza a következő fájlokat is: dgssxy.yoi (0 bájt), nonrunso.ber (0 bájt), Odin-Anon.Ger (0 bájt), sysmms32.lla (0 bájt).

    A vírus e-mailen terjed. A féreg a fertőzött gépen található, összegyűjtött e-mail címeket a Windows rendszerkönyvtárában elhelyezett alábbi DATAMX.DAM fájlban tárolja, például C:\WINNT\SYSTEM32\DATAMX.DAM. A vírus egy angol vagy német nyelvű szöveget készít.
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    • irkab1rka #1
      mennyit is kapott az eredeti írója? valami párhónapot? mennyi kárt okozott? :)
      Ha mindenki aki miatta idegeskedett csak egy pofont ad neki, akkor fél óra múlva nem lenne hús az arcán...