Červ Sober.E se začal šířit do světa internetu

Nová verze červa Sober.E vychází z předchozí varianty D. Vlastní zavirovaný spustitelný soubor se po aktivaci nakopíruje do adresáře SYSTEM operačního systému pod náhodným jménem, na které se následně udělá odkaz v systémovém registru.

Červ následně vygeneruje ještě další soubory (%System% je adresář SYSTEM operačního systému):

  • %System%\msWorl.wrd (dočasná MIME verze červa)
  • %System%\MsHelp32.dat (MIME verze červa)
  • %System%\WinRun32.dll (seznam emailových adres nalezených na počítači)
  • %System%\bcegfds.lll (dočasný soubor)
  • %System%\zmndpgwf.kxx (dočasný soubor)

Při svém startu se červ pokusí spustit Malování z Windows. Pokud se mu tento záměr nezdaří, vypíše hlášku „Graphic Modul not found“.

Pokud napadená počítač není připojen k internetu, pokusí se červ použít vytáčené připojení modemem a někdy přitom může zobrazit následující hlášku:

Klepněte pro větší obrázek

Červ Sober.E se nespoléhá pouze na lokální systémový datum, ale pokusí se jeho aktuální hodnotu zjistit pomocí následujících NTP serverů: Rolex.PeachNet.edu , ntps1-1.cs.tu-berlin.de , ntp2.fau.de , ptbtime2.ptb.de , time.nrc.ca , ntp.metas.ch , ntps1-0.cs.tu-berlin.de , ntp0.fau.de , timelord.uregina.ca , ntp-1.ece.cmu.edu , ptbtime1.ptb.de , time.ien.it , ntp3.fau.de , time.chu.nrc.ca , clock.psu.edu , ntp1.fau.de.

Pokud již bylo 24. března 2004, pokusí se červ stáhnout předdefinované soubory z domén home.arcor.de a people.freenet.de . V tuto chvíli již jsou soubory na daných adresách neaktivní.

Na lokálně nalezené adresy se červ šíří pomocí vlastního SMTP engine. Rozesílané emaily mají následující charakteristiku:

Od: (políčko od je náhodně dosazeno z několika desítek předdefinovaných slov)

Předmět (jedna z následujících možností): Hi , hi , Hi :-) , Ok ;-) , OK OK , OK Ok OK! , Hey! , Thx !!!

doplněný o text Message-ID: <%náhodný text%.qmail>

Tělo emailu: ;-) , ha! , HA :-) , yo! , lol , LoL , LOL , Yo!

Jak vidno, tento email nepatří zrovna mezi upovídané.

Samozřejmě nesmí chybět ani vlastní zavirovaná příloha, která je pojmenována jedním z následujících jmen: Text.zip , Text.pif , Read.zip , Read.pif , Graphic-doc.zip , Graphic-doc.pif , document.zip , document.pif , Word.zip , Word.pif

V současné chvíli mají již prakticky všechny antivirové firmy tohoto červa ve svých aktualizacích, tak si je také vy nezapomeňte nainstalovat…

Zdroj: Symantec

Diskuze (12) Další článek: Test USB ohřívače hrníčku: užitečná hloupost

Témata článku: Windows, Sir, LOL, Svět, System, NRC, Červ, Nalezený soubor, Sob


Určitě si přečtěte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

** Přijít o důležitá data je jednodušší, než si umíte představit ** To, zda a jak snadno je získáte zpět, záleží především na vás ** Když si nastavíte zálohování, může to být otázka několik minut

Karel Kilián | 33

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 77

AMD Ryzen 5000 s architekturou Zen 3: počet jader zůstává, výkon rekordně roste

AMD Ryzen 5000 s architekturou Zen 3: počet jader zůstává, výkon rekordně roste

** AMD představilo novou generaci desktopových procesorů řady Ryzen 5000 ** Nová architektura Zen 3 přináší mnoho vylepšení a přibližně 19% zvýšení výkonu IPC ** Všechny modely budou v prodeji 5. listopadu

Karel Javůrek | 44


Aktuální číslo časopisu Computer

Megatest mobilů do 5 500 Kč

Test levných herních notebooků

Hrajeme na Xbox Series X

Programy pro kontrolu dětí na počítači