Nová verze červa Sober.E vychází z předchozí varianty D. Vlastní zavirovaný spustitelný soubor se po aktivaci nakopíruje do adresáře SYSTEM operačního systému pod náhodným jménem, na které se následně udělá odkaz v systémovém registru.
Červ následně vygeneruje ještě další soubory (%System% je adresář SYSTEM operačního systému):
- %System%\msWorl.wrd (dočasná MIME verze červa)
- %System%\MsHelp32.dat (MIME verze červa)
- %System%\WinRun32.dll (seznam emailových adres nalezených na počítači)
- %System%\bcegfds.lll (dočasný soubor)
- %System%\zmndpgwf.kxx (dočasný soubor)
Při svém startu se červ pokusí spustit Malování z Windows. Pokud se mu tento záměr nezdaří, vypíše hlášku „Graphic Modul not found“.
Pokud napadená počítač není připojen k internetu, pokusí se červ použít vytáčené připojení modemem a někdy přitom může zobrazit následující hlášku:
Červ Sober.E se nespoléhá pouze na lokální systémový datum, ale pokusí se jeho aktuální hodnotu zjistit pomocí následujících NTP serverů: Rolex.PeachNet.edu , ntps1-1.cs.tu-berlin.de , ntp2.fau.de , ptbtime2.ptb.de , time.nrc.ca , ntp.metas.ch , ntps1-0.cs.tu-berlin.de , ntp0.fau.de , timelord.uregina.ca , ntp-1.ece.cmu.edu , ptbtime1.ptb.de , time.ien.it , ntp3.fau.de , time.chu.nrc.ca , clock.psu.edu , ntp1.fau.de.
Pokud již bylo 24. března 2004, pokusí se červ stáhnout předdefinované soubory z domén home.arcor.de a people.freenet.de . V tuto chvíli již jsou soubory na daných adresách neaktivní.
Na lokálně nalezené adresy se červ šíří pomocí vlastního SMTP engine. Rozesílané emaily mají následující charakteristiku:
Od: (políčko od je náhodně dosazeno z několika desítek předdefinovaných slov)
Předmět (jedna z následujících možností): Hi , hi , Hi :-) , Ok ;-) , OK OK , OK Ok OK! , Hey! , Thx !!!
doplněný o text Message-ID: <%náhodný text%.qmail>
Tělo emailu: ;-) , ha! , HA :-) , yo! , lol , LoL , LOL , Yo!
Jak vidno, tento email nepatří zrovna mezi upovídané.
Samozřejmě nesmí chybět ani vlastní zavirovaná příloha, která je pojmenována jedním z následujících jmen: Text.zip , Text.pif , Read.zip , Read.pif , Graphic-doc.zip , Graphic-doc.pif , document.zip , document.pif , Word.zip , Word.pif
V současné chvíli mají již prakticky všechny antivirové firmy tohoto červa ve svých aktualizacích, tak si je také vy nezapomeňte nainstalovat…
Zdroj: Symantec
