A W32/Sober.k@MM újabb változata már közepesen veszélyes!

A féreg lefutásakor egy értelmetlen karaktersorozat jelenik meg a jegyzettömbön. Ezt követően bemásolja magát a Windows rendszerkönyvtárba véletlenszerű, de mindig .exe kiterjesztésű file formájában. A véletlenszerű név mindig az alábbi karaktersorozatok kombinációja: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32, például: C:/WINDOWS/SYSTEM32/SYSSPOOLDISC.EXE

Az alábbi file-okat helyezi el a Windows rendszerkönyvtárban:
• DATAMX.DAM (a begyűjtött e-mail címeket tartalmazza)
• DGSFZIPP.GMX (59.504 byte, a féreg másolata ZIP-ben)

Ezután a vírus a rendszerleíró adatbázisban létrehozza az alábbi kulcsokat, hogy a következő indításkor betöltse magát:
• HKEY_CURRENT_USER/Software/Microsoft/Windows
/CurrentVersion/Run “adisccrypt” = [System könyvtár elérési útvonala] /sysspooldisc.exe
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
/CurrentVersion/Run “dircryptlog” = [System könyvtár elérési útvonala]/sysspooldisc.exe

Ezek a kulcsok természetesen a generált file-névtől függően változnak! A vírus emellett a rendszerkönyvtárban létrehozza az alábbi file-okat is:
• dgssxy.yoi (0 byte)
• nonrunso.ber (0 byte)
• Odin-Anon.Ger (0 byte)
• sysmms32.lla (0 byte)

A vírus e-mailen terjed. A fertőzött levél ismertetőjegyei:

A féreg a fertőzött gépen található, összegyűjtött e-mail címeket a Windows rendszerkönyvtárában elhelyezett alábbi DATAMX.DAM file-ban tárolja, például: C:/WINNT/SYSTEM32/DATAMX.DAM

A vírus egy angol vagy német nyelvű szöveget készít. Amennyiben az e-mail cím .de, .at vagy .ch végződésű, úgy a következő német formátumot használja:

Tárgy: Ey du DOOF Nase, warum beantw…
Szöveg:
Warum beantwortest Du meine E-Mails nicht?
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit Winzip klei ner gemacht.
Lesen und diesmal auch bescheid geben!!!!

tschau…..
Csatolt állomány: TEXTE.ZIP

Angol verzió:

Tárgy: I´ve got YOUR email on my account!!
Csatolt állomány:
• EMAIL_TEXT.ZIP vagy
• TEXT.ZIP

A ZIP file a féreg másolatát tartalmazza, a következő file-névvel: MAIL_TEXT-INFO.TXT (sok szóköz) .PIF. A fertőzött e-mail prioritása „magas”.

A W32/Sober.k@MM vírus is tartalmaz saját SMTP levelező motort, amellyel – hamis feladót feltüntetve – továbbküldi magát a abc; abd; abx; adb; ade; adp; adr; asp; bak; bas; cfg; cgi; cls; cms; csv; ctl; dbx; dhtm; doc; dsp; dsw; eml; fdb; frm; hlp; imb; imh; imh; imm; inbox; ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg; nab; nch; nfo; nsf; nws; ods; oft; php; phtm; pl; pmr; pp; ppt; pst; rtf; shtml; slk; sln; stm; tbb; txt; uin; vap; vbs; vcf; wab; wsh; xhtml; xls; xml file-okból összegyűjtött címekre. A vírus nem küldi tovább magát bizonyos karaktereket tartalmazó e-mail címekre.

A W32/Sober.k@MM férget január 30-án fedezték fel, és 31-én sorolták a közepesen veszélyes kategóriába, megnőtt megjelenési gyakorisága miatt. A mai napon kiadott 4424-es sorszámú DAT file már tartalmazza a felismeréséhez szükséges információkat.