Pozor, razsaja Sober.I

Teden dni smo imeli relativen mir pred virusi, a tu je nova nevarnost. Internetni črv, imenovan Win32/Sober.i, se širi z elektronskimi sporočili in se distribuira zelo hitro. Zanj že velja rumeni oziroma rdeči alarm! V nadaljevanju je opisano delovanje črva ter njegove lastnosti in napotki, kako se ubraniti. Pa previdno!

Sober.I črv delovanje in zaščita
Win32/Sober.I je črv, ki se širi z razpošiljanjem elektronske pošte. Njegova velikost je 55 kB.
Virus doda naslednjo vrednost”[nakljucna_vrednost]” = “%System%[nakljucno_ime].exe” v registru: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
V sistemski imenik Windows pa so prisotne naslednje datoteke: winsend32.dal, winroot64.da,cvqaikxt.apk,Odin-Anon.Ger, mms32.lla, gssxy.yoi, ippedsr.piznonzipsr.nozwinexerun.dal, inmprot.dal, lonzips.ssc, lsobern.isc, b2run.dii

Vsebina elektronskega sporočila:
Ime pošiljatelja (From: address) je naključno
? Registration confirmation
? Confirmation
? Your Password
? Your mail account
? Delivery failure notice
? Schongehört?
? DieTools!
? DeinZeug’s!
? Hierfürdich^^
? BestellungsBestätigung
? Lieferungs-Bestätigung
? Ok,hieristmein
? Ichhabemichindichv
…

Telo sporočila (Body) je naključno npr.:

————————————————–
yo wazzup 😛
well here is ur stuff! good luck!
————————————————–
Guten Tag,

Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist.

Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können.

Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument.

Hochachtungsvoll
R. Peters
————————————————–
Pripeta datoteka (attachment) je lahko z imenom: .pif, .zip, .scr, .bat or .com.
Delovanje:

° Elektronsko sporočilo virusa Win32/Sober.I je lahko angleško ali nemško
° išče naslove v naslednjih datotekah za razpošiljanje: .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft, .uin, .cgi, .mht, .dhtm, .jsp

Zaščita:
° posodbite svoj protivirusni program!
° Za uspešno preprečitev okužbe je potrebna namestitev zadnjih definicij virusov protivirusnega programa
° Zadnja poročila o aktivnih virusih boste našli na naslovu www.virus-radar.com
° Priporočamo tudi namestitev protipožarne programske opreme (Kerio Personal firewall) ali Windows SP2 za XP ali drugega ustreznega požarnega zidu