Zástupcům FBI dělá v posledních dnech starost nová varianta červa Sober.K. Ta zaplnila schránky velkého množství uživatelů emailem, který se na první pohled tváří jako zpráva od FBI (Federal Bureau of Investigation). Jeden z mnoha předpřipravených textů například adresáty děsí skutečností, že FBI zjistila podle IP adresy jejich návštěvu na jedné ze čtyřiceti ilegálních webových stránek a žádá o zodpovězení otázek ze souboru v příloze. FBI vydala veřejné prohlášení, ve kterém varuje před těmito podvrženými emaily.
Červ ve svém kódu obsahuje velké množství předdefinovaných řetězců, ze kterých skládá dohromady rozesílané infikované emaily. Do políčka odesílatel je doplněna jedna z následujících možností: Service , Webmaster , Register , Hostmaster , Postmaster , service , webmaster , register , hostmaster , postmaster , police@FBI.gov , Officer@FBI.gov , Admin@FBI.gov , Web@FBI.gov , FBI@FBI.gov , police@fbi.gov , Officer@fbi.gov , Admin@fbi.gov , Web@fbi.gov , FBI@fbi.gov , Security@microsoft.com.
Předmět emailu pak může být rovněž velmi rozmanitý: Ihr Passwort wurde geaendert ** Ihr neues Passwort ** EMail-Empfang fehlgeschlagen ** Paris Hilton Nackt! ** Paris Hilton SexVideos ** Seitensprung gesucht? ** Vorsicht! Neuer Sober Wurm! ** Anhang Scanner: Kein Virus enthalten ** Mail Scanner: Kein Virus gefunden ** AntiVirus System: No Virus found ** Your new Password ** Mail_delivery_failed ** Paris Hilton, pure! ** Alert! New Sober Worm! ** Attachment: No Virus found ** Mail-Scanner: No Virus detected ** AntiVirus: Found to be clean ** You visit illegal websites.
Pro zvýšení důvěryhodnosti předpřipravených šablon průvodního textu je k některým emailům připojován i podpis. Červ volí mezi podpisem agenta FBI, či podpisem společnosti Microsoft:
M. John Stellford
++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ Washington, DC 20535
++-++ (202) 324-3000
--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399
Po spuštění se Sober.K usadí v několika souborech na pevném disku:
- %Windir%\msagent\win32\smss.exe
- %Windir%\msagent\win32\winlogon.exe
- %Windir%\msagent\win32\csrss.exe
Pro zmatení uživatele vypíše po spuštění hlášku s následujícím textem:
Winsock 2.0 Error
STOP:0x10020AF {Unknown_blocking}
Possible Reason: Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on: C:\WinsockError_log.txt
Zdroj: Symantec