Ismét terjedőben a Sober féreg

A Sober.AA féreg rengeteg módosítást végez a fertőzött számítógépeken, és azokat további kártékony programoknak, illetve különböző fenyegetettségeknek szolgáltatja ki.

A Sober.AA féreg – hasonlóan az eddigi variánsaihoz – elsősorban elektronikus levelek révén igyekszik minél több számítógépet megfertőzni. A meglehetősen gyorsan terjedő féreg az email címeket a fertőzött PC-ken található, különböző kiterjesztésű állományokból gyűjti össze, majd előre meghatározott SMTP szerverek révén továbbítja saját magát.

A Sober.AA a regisztrációs adatbázis módosítása révén kikapcsolja a Windows beépített tűzfalát, az operációs rendszer automatikus frissítési funkcióját, valamint a Biztonsági központ szolgáltatást. Ezt követően fájlokat tölt le az Interneten keresztül, és időközönként egy-egy üzenetablakot jelenít meg.

Amikor a Sober.AA féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\PoolData\csrss.exe
%Windir%\PoolData\services.exe
%Windir%\PoolData\smss.exe
%Windir%\PoolData\spxttx1.xnt
%Windir%\PoolData\spxttx2.xnt
%Windir%\PoolData\spxttx3.xnt
%Windir%\PoolData\\\unnor.ssy
%Windir%\PoolData\xpsys.ddr
%Windir%\PoolData\WinD.osa

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run” WinData” = “C:\WINDOWS\PoolData\services.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”_WinData” = “C:\WINDOWS\PoolData\services.exe”

3. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows \WindowsUpdate\Auto Update”AUOptions” = “1”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile”EnableF irewall” = “4”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsv c”Start” = “4”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w scsvc”Start” = “4”

Ezzel kikapcsolja a Windows automatikus frissítési funkcióját, a beépített tűzfalat, valamint a Biztonsági központ szolgáltatást.

4. Megjelenít egy üzenetablakot “WinZip Self-Extractor” címsorral és “WinZip Header is missing!” üzenettel.

5. Módosítja a következő fájlokat:
%System%\drivers\TCPIP.SYS
%System%\dllcache\TCPIP.SYS
%Windir%\ServicePackFiles\i386\TCPIP.SYS

6. Leállítja a biztonsági szoftverekhez tartozó folyamatokat

7. Megjelenít egy üzenetablakot “Antivirus” címsorral.

8. Leteszteli, hogy van-e aktív Internet kapcsolat.

9. Egy fájlt tölt le az Interneten keresztül. Ezt minden héten egyszer megismétli.

10. Különböző kiterjesztésű fájlokból email címeket gyűjt össze. Ezeket a következő fájlokba tárolja el:
spxttx1.xnt
spxttx2.xnt
spxttx3.xnt

11. Az összegyűjtött email címekre továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
Ihr Passwort wurde geaendert!
Fehlerhafte Mailzustellung
Ihr Account wurde eingerichtet!
Your Updated Password!
Error in your eMail

A fertőzött levelek mellékletéhez tartozó fájl .zip kiterjesztésű, és véletlenszerű karakterekből épül fel.