Červ Sober.E se začal šířit do světa internetu

Nová verze červa Sober.E vychází z předchozí varianty D. Vlastní zavirovaný spustitelný soubor se po aktivaci nakopíruje do adresáře SYSTEM operačního systému pod náhodným jménem, na které se následně udělá odkaz v systémovém registru.

Červ následně vygeneruje ještě další soubory (%System% je adresář SYSTEM operačního systému):

  • %System%\msWorl.wrd (dočasná MIME verze červa)
  • %System%\MsHelp32.dat (MIME verze červa)
  • %System%\WinRun32.dll (seznam emailových adres nalezených na počítači)
  • %System%\bcegfds.lll (dočasný soubor)
  • %System%\zmndpgwf.kxx (dočasný soubor)

Při svém startu se červ pokusí spustit Malování z Windows. Pokud se mu tento záměr nezdaří, vypíše hlášku „Graphic Modul not found“.

Pokud napadená počítač není připojen k internetu, pokusí se červ použít vytáčené připojení modemem a někdy přitom může zobrazit následující hlášku:

Klepněte pro větší obrázek

Červ Sober.E se nespoléhá pouze na lokální systémový datum, ale pokusí se jeho aktuální hodnotu zjistit pomocí následujících NTP serverů: Rolex.PeachNet.edu , ntps1-1.cs.tu-berlin.de , ntp2.fau.de , ptbtime2.ptb.de , time.nrc.ca , ntp.metas.ch , ntps1-0.cs.tu-berlin.de , ntp0.fau.de , timelord.uregina.ca , ntp-1.ece.cmu.edu , ptbtime1.ptb.de , time.ien.it , ntp3.fau.de , time.chu.nrc.ca , clock.psu.edu , ntp1.fau.de.

Pokud již bylo 24. března 2004, pokusí se červ stáhnout předdefinované soubory z domén home.arcor.de a people.freenet.de . V tuto chvíli již jsou soubory na daných adresách neaktivní.

Na lokálně nalezené adresy se červ šíří pomocí vlastního SMTP engine. Rozesílané emaily mají následující charakteristiku:

Od: (políčko od je náhodně dosazeno z několika desítek předdefinovaných slov)

Předmět (jedna z následujících možností): Hi , hi , Hi :-) , Ok ;-) , OK OK , OK Ok OK! , Hey! , Thx !!!

doplněný o text Message-ID: <%náhodný text%.qmail>

Tělo emailu: ;-) , ha! , HA :-) , yo! , lol , LoL , LOL , Yo!

Jak vidno, tento email nepatří zrovna mezi upovídané.

Samozřejmě nesmí chybět ani vlastní zavirovaná příloha, která je pojmenována jedním z následujících jmen: Text.zip , Text.pif , Read.zip , Read.pif , Graphic-doc.zip , Graphic-doc.pif , document.zip , document.pif , Word.zip , Word.pif

V současné chvíli mají již prakticky všechny antivirové firmy tohoto červa ve svých aktualizacích, tak si je také vy nezapomeňte nainstalovat…

Zdroj: Symantec

Diskuze (12) Další článek: Test USB ohřívače hrníčku: užitečná hloupost

Témata článku: Windows, Nalezený soubor, Svět, System, Sob, Sir, Červ, LOL


Určitě si přečtěte

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

** Wi-Fi zásuvky nevyrábí pouze Čína ** Vyzkoušeli jsme českou Netio PowerCable ** Je přímo určená pro vývojáře, má totiž jednoduché JSON API

Jakub Čížek | 43

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 28

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

Bývalý zaměstnanec Nokie vysvětluje, proč telefony s Windows Phone neuspěly

** Za neúspěchem Microsoftu v mobilech stojí i Windows 8 ** Microsoft pozdě naskočil do rozjetého vlaku ** Uživatelé neměli zásadní důvody, proč přejít

Karel Kilián | 138

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 27


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky