Červ Sober.K dělá vrásky na čele FBI

Zástupcům FBI dělá v posledních dnech starost nová varianta červa Sober.K. Ta zaplnila schránky velkého množství uživatelů emailem, který se na první pohled tváří jako zpráva od FBI (Federal Bureau of Investigation). Jeden z mnoha předpřipravených textů například adresáty děsí skutečností, že FBI zjistila podle IP adresy jejich návštěvu na jedné ze čtyřiceti ilegálních webových stránek a žádá o zodpovězení otázek ze souboru v příloze. FBI vydala veřejné prohlášení, ve kterém varuje před těmito podvrženými emaily.

Červ ve svém kódu obsahuje velké množství předdefinovaných řetězců, ze kterých skládá dohromady rozesílané infikované emaily. Do políčka odesílatel je doplněna jedna z následujících možností: Service , Webmaster , Register , Hostmaster , Postmaster , service , webmaster , register , hostmaster , postmaster , police@FBI.gov , Officer@FBI.gov , Admin@FBI.gov , Web@FBI.gov , FBI@FBI.gov , police@fbi.gov , Officer@fbi.gov , Admin@fbi.gov , Web@fbi.gov , FBI@fbi.gov , Security@microsoft.com.

Předmět emailu pak může být rovněž velmi rozmanitý: Ihr Passwort wurde geaendert ** Ihr neues Passwort ** EMail-Empfang fehlgeschlagen ** Paris Hilton Nackt! ** Paris Hilton SexVideos ** Seitensprung gesucht? ** Vorsicht! Neuer Sober Wurm! ** Anhang Scanner: Kein Virus enthalten ** Mail Scanner: Kein Virus gefunden ** AntiVirus System: No Virus found ** Your new Password ** Mail_delivery_failed ** Paris Hilton, pure! ** Alert! New Sober Worm! ** Attachment: No Virus found ** Mail-Scanner: No Virus detected ** AntiVirus: Found to be clean ** You visit illegal websites.

Pro zvýšení důvěryhodnosti předpřipravených šablon průvodního textu je k některým emailům připojován i podpis. Červ volí mezi podpisem agenta FBI, či podpisem společnosti Microsoft:

M. John Stellford
++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ Washington, DC 20535
++-++ (202) 324-3000

--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399


Po spuštění se Sober.K usadí v několika souborech na pevném disku:

  • %Windir%\msagent\win32\smss.exe
  • %Windir%\msagent\win32\winlogon.exe
  • %Windir%\msagent\win32\csrss.exe

Pro zmatení uživatele vypíše po spuštění hlášku s následujícím textem:

Winsock 2.0 Error
STOP:0x10020AF {Unknown_blocking}
Possible Reason: Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on: C:\WinsockError_log.txt

 

Zdroj: Symantec

Diskuze (1) Další článek: Stahujte WinAmp 5.08e

Témata článku: Microsoft, FBI, Scanner, Hilton, Room, Paris Hilton, Wurm, Error, Webmaster, Červ, Attachment, Reason, Paris, Washington, Email, Virus, Admin, Veřejné prohlášení, Ilegální web, Microsoft Security

Určitě si přečtěte


Aktuální číslo časopisu Computer

Ochraňte svou techniku před zloději

Testy All-in-One PC a herních monitorů

Proč byste měli chtít HDR televizi

Svět leteckých simulátorů