Nová varianta emailového červa s názvem Sober se začala elektronickou poštou šířit po celém světě. Zavirované emaily se šíří ve dvou jazykových mutacích - němčině a angličtině a mají následující charakteristické znaky:
Předmět emailu (je vybrána jedna z možností):
George W. Bush plans new wars
George W. Bush wants a new war
Have you been hacked?
You Got Hacked
Vlastní text zprávy (opět je vybrána jedna z možností):
Bush plans new wars against China, Cuba and Iran.
Please visit our website and vote against this very crazy war(s).
More information:
by me,, idiot!
haha, very nice files on your system.
i`ve made a website. i show your files on this website hahaha
visit:
YA of me
a great many files on your pc and very very interesting
what would say the police?!,,, i don`t know .-]
files of you
See:
Připojené soubory (jedna z možností):
www.gwbush-new-wars.com
www.hcket-user-pcs.com
allfiles.cmd
yourlist.pif
Podobně jako v anglické verzi jsou i v německé verzi jednotlivé charakteristické znaky generovány z předpřipravených variant:
Předmět emailu (je vybrána jedna z možností):
Hihi, ich war auf deinem Computer
Du bist Ge-Hackt worden
Ich habe Sie Ge-hackt
Der Kannibale von Rotenburg
Vlastní text zprávy (jedna z možností):
Nette, ungewöhnliche und ausgefallene Sachen hast du da auf deinem Computer! (Was soll man dazu noch sagen) Ich überlege mir schon die ganze Zeit, ob ich ein paar deiner Ratejen im Internet auf einer Web-Seite stellen soll! Weil, genug Stoff habe ich ja von Dir! (Muhahahah) Du fragst dich sicherlich, was ich alles von Dir habe,,,, siehe selbst
Was wohl gewisse Behörden dazu sagen würden? **hust*
Ich weiss nicht so recht, soll ich dich bestechen oder die Behörden einschalten ???
Du kannst jetzt ruhig Deine Dateien löschen oder sonst was, aber nützen wird es Dir wenig, weil ich sie auch habe! Wenn du meinst das ich Mist rede, dann sehe Dir die Datei-Liste an.
Dann siehst du, was ich alles von Dir habe. Na ja,, ich melde mich nächste Woche noch einmal!
Entschuldigen Sie bitte diese überaus deutliche Betreffzeile! Aber ein neuer Dialer macht mit dieser Überschrift unzählige User zu Opfern. Die User werden mit dem versprechen gelockt, sich das äusserts abscheuliche Tat- Video anzuschauen zu d Stattdessen aber, installiert sich ein sehr teurer Dialer und ein Virus auf dem PC.
Da aber unzählige User auf diese Finte hereinfallen, haben wir mit Zustimmung des Bundeskriminalamtes BKA, eine Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Video einzusehen sind, um den Leuten die Neugier zu nehmen. natürlich sind diese Videos und Fotos leicht zensiert worden. Um auf diesen Web-Server zu gelangen, müssen Sie zuerst bestätigen, dass Sie das 18 Lebensjahr bereits vollendet haben. Wir bitten sie ausdrücklichst, keine Kinder diese Seite einsehen zu lassen. I.A.: Dieter Braun
----- MultiMedia AG München ia. BKA (ORG. Rund-Mail V6.02)
Geschaeftsfuehere: Michael Leuningen (089/8941440) FAX: 089/89414434
Připojené soubory (jedna z možností):
DateiList.pif
Daten-Text.pif
Server.com
Pokud dojde ke spuštění zavirované přílohy, vytvoří se její kopie do adresáře System v adresáři operačního systému, která bude pojmenována sekvencí náhodných znaků.
Dále červ prohledává lokální soubory a ukládá v nich nalezené emailové adresy do souboru mscolmon.ocx. Při hledání jsou přeskakovány soubory následujících typů: HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, NSF, ASP, SHTML, SHTM, DBX, HLP, MHT, NFO
Po prvním spuštění červ zobrazuje následující systémový dialog:
Do systémového registru ve větvích:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Run
přidává červ nový klíč, zajišťující automatické znovuspuštění po restartu počítače.
K automatickému šíření SOBER.B využívá vlastní SMTP engine pro rozesílání emailů. Další možností nákazy jsou veřejné P2P sítě, kde se červ šíří pod falešnými jmény původních souborů, jejichž obsah napadl a přepsal sám sebou.
V současné chvíli jsou již virové definice tohoto červa zaneseny prakticky do všech aktualizací antivirových produktů. Nezapomeňte tedy aktualizovat i ten váš antivir, pokud to již za vás neudělala automatická aktualizace.