Sober.C - čo to je ?

Branislav Vrzoň  /  30. 12. 2003, 00:00

Pozor! Blíži sa nová vlna zákerného vírusu... V Nemecku tento vírus spôsobil doslova pohromu, ale čo u nás... Vieme sa dostatočne chrániť?

Vírus sa prvý krát objavil v sobotu. Šíri sa ako súbor v prílohe správ elektronickej pošty. Naprogramovaný bol vo Visual Basicu, ozaj celkom šikovne. Pokiaľ však nemáte operačný systém Windows, nemáte sa čoho báť. Pokiaľ ho všek používate je na čase aktualizovať antivírovu databázu Vášho antivírusového programu.

Ak Vám príde pošta a v predmete je niektorý s následujúcich textov, určite je tam aj tento vírus:

Hihi, ich war auf deinem Computer
Du bist Ge-Hackt worden
Ich habe Sie Ge-hackt
Der Kannibale von Rotenburg
George W. Bush plans new wars
George W. Bush wants a new war
You Got Hacked
Have you been hacked?

V texte správy sa môže zobraziť nasledujúce:

Nette, ungewöhnliche und ausgefallene Sachen hast du da
auf deinem Computer! (Was soll man dazu noch sagen)
Ich überlege mir schon die ganze Zeit, ob ich ein paar deiner Dateien
im Internet auf einer Web-Seite stellen soll!
Weil, genug Stoff habe ich ja von Dir! (Muhahahah)
Du fragst dich sicherlich, was ich alles von Dir habe,,,, siehe selbst

Was wohl gewisse Behörden dazu sagen würden? **hust*
Ich weiß nicht so recht, soll ich dich bestechen oder
die Behörden einschalten ???
Du kannst jetzt ruhig Deine Dateien löschen oder sonst was, aber nützen wird es
Dir wenig, weil ich sie auch habe!
Wenn du meinst das ich Mist rede, dann sehe Dir die Datei-Liste an.
Dann siehst du, was ich alles von Dir habe.
Na ja,, ich melde mich nächste Woche noch einmal!

Entschuldigen Sie bitte diese überaus deutliche Betreffzeile!
Aber ein neuer Dialer macht mit dieser Überschrift unzählige User zu Opfern.
Die User werden mit dem versprechen gelockt, sich das
äusserts abscheuliche Tat- Video anzuschauen zu dürfen.
Stattdessen aber, installiert sich ein sehr teurer Dialer und ein Virus auf dem PC.
Da aber unzählige User auf diese Finte hereinfallen, haben wir mit Zustimmung des
Bundeskriminalamtes BKA, eine Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
Natürlich sind diese Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu gelangen, müssen Sie zuerst bestätigen, dass Sie das 18 Lebensjahr bereits vollendet haben.
Wir bitten sie ausdrücklichst, keine Kinder diese Seite einsehen zu lassen.
I.A.: Dieter Braun
----- MultiMedia AG München ia. BKA (ORG. Rund-Mail V6.02)
----- Geschäftsführer: Michael Leuningen (089/8941440) FAX: 089/89414434

Bush plans new wars against China, Cuba and Iran.
Please visit our website and vote against this very crazy war(s).
More information:

by me,, idiot!
haha, very nice files on your system.
i've made a website. i show your files on this website hahaha
visit:

YA of me
a great many files on your pc and very very interesting
what would say the police?!,,, i don't know .-]
i've
files of you
see:

Ako príloha môže byť jedna s nasledujúcich:

Daten-Text.pif
DateiList.pif
Server.com
gwbush-new-wars.com
hcket-user-pcs.com
yourlist.pif
allfiles.cmd

Problém nastáva ak prílohu otvoríte, aktivuje sa červ. Zobrazí sa falošná chybova hláška "Header is missing". V adresári system sa objaví súbor *.exe s premenlivým názvom, ktorý obsahuje kópiu vírusu a súbor spooler.exe.

V registroch v kľúči HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run vytvorí položku s náhodným menom, ktorej hodnotu nastaví na jednu zo svojich kópii v adresári system.

Adresy, kde sa ďalej šíri získava zo súborov s príponami htt, rtf, doc, xls, ini, mdb, txt, htm, html, wab, pst, fdb, cfg, ldb, eml, abc, ldif, nab, adp, mdw, mda, mde, ade, sln, dsw, dsp, vap, php, nsf, asp, shtml, shtm, dbx, hlp, mht a nfo.

Pokiaľ pravidelne aktualizujete Váš antivír, nemáte sa čoho báť. Systém NOD32 pozná tento vírus od verzie 1.582.

zdroj informácií: eset.sk, f-secure.com, symantec.com

Neprehliadnite: