Gyorsan kezdett elterjedni a Sober féreg legújabb variánsa, amely elektronikus leveleken keresztül próbál meg minél több számítógépet megfertőzni.
A W32.Sober.K@mm féreg a saját SMTP komponensét használja fel a terjedéséhez. A szükséges email címeket a fertőzött rendszerekről gyűjti össze. A levelek angol vagy német nyelvű üzeneteket tartalmazhatnak.
A W32.Sober.K@mm további ismert nevei: Sober.M [Panda Software], W32/Sober.l@MM [McAfee], WORM_SOBER.K [Trend Micro], W32/Sober-K [Sophos], Sober.K [Computer Associates], Sober.K [F-Secure], W32/Sober.K@mm [Norman].
Amikor a W32.Sober.K@mm elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\msagent\win32\smss.exe
%Windir%\msagent\win32\winlogon.exe
%Windir%\msagent\win32\csrss.exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
" winsystem.sys" = "%Windir%\msagent\win32\smss.exe" értéket.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"_winsystem.sys" = "%Windir%\msagent\win32\smss.exe" értéket.
4. A Windows Temp könyvtárába létrehoz egy 1.txt nevű fájlt, amelyet a Windows Jegyzettömbjének segítségével megnyit.
5. A 37-es porton keresztül leellenőrzi, hogy van-e megfelelő Internet kapcsolat.
6. Létrehozza az alábbi állományokat:
%Windir%\msagent\win32\zipedso1.ber
%Windir%\msagent\win32\zipedso2.ber
%Windir%\msagent\win32\zipedso3.ber
%Windir%\msagent\win32\datamx1.dat
%Windir%\msagent\win32\datamx2.dat
%Windir%\msagent\win32\datamx3.dat
%Windir%\msagent\win32\GoTo1.dat
%Windir%\msagent\win32\GoTo2.dat
%Windir%\msagent\win32\GoTo3.dat
%Windir%\msagent\win32\runnowso.ber
%Windir%\msagent\win32\[random letters].ano
%Windir%\System32\nonrunso.ber
%Windir%\System32\stopruns.zhz
%Windir%\System32\read.me
6. Amennyiben nem talál "élő" Internet kapcsolatot, akkor megpróbál modemes kapcsolatot létesíteni.
7. Megjelenít egy hibaüzenetet az alábbi szöveggel:
Winsock 2.0 Error
STOP:0x10020AF {Unknown_blocking}
Possible Reason: Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on: C:\WinsockError_log.txt
8. Naplózási céllal létrehoz egy C:\WinsockError_log.txt állományt.
9. A fertőzött számítógép különböző kiterjesztésű fájljaiból összegyűjti az email címeket. Ezekre a saját SMTP komponensének segítségével továbbküldi magát.
A fertőzött levelek tárgya lehet:
Ihr Passwort wurde geaendert
Ihr neues Passwort
EMail-Empfang fehlgeschlagen
Paris Hilton Nackt!
Paris Hilton SexVideos
Seitensprung gesucht?
Vorsicht! Neuer Sober Wurm!
Anhang Scanner: Kein Virus enthalten
Mail Scanner: Kein Virus gefunden
AntiVirus System: No Virus found
Your new Password
Mail_delivery_failed
Paris Hilton, pure!
Alert! New Sober Worm!
Attachment: No Virus found
Mail-Scanner: No Virus detected
AntiVirus: Found to be clean
You visit illegal websites
A fertőzött levelek mellékletéhez tartozó fájl neve az alábbi listából kerül ki
Patch-Formular.zip
Patch-Tool.zip
PSW-Text.zip
zipped-text.zip
zipped-mail.zip
Register-Info.zip
register_text.zip
header_text.zip
text_register.zip
patch_help-text.zip
text-indictment_cit.zip.
Forrás : Biztonságportál