De nuchtere worm verspreidt zich weer

De Sober.AA-worm brengt veel wijzigingen aan op geïnfecteerde computers en stelt deze bloot aan extra malware en verschillende bedreigingen.

De Sober.AA-worm probeert, net als zijn varianten tot nu toe, zoveel mogelijk computers te infecteren, voornamelijk via e-mail. De vrij snel verspreidende worm verzamelt e-mailadressen van bestanden met verschillende extensies op geïnfecteerde pc's en stuurt zichzelf vervolgens door via vooraf gedefinieerde SMTP-servers.

Sober.AA schakelt Windows Firewall, de functie voor het automatisch bijwerken van het besturingssysteem en de functie Beveiligingscentrum uit door het register te wijzigen. Vervolgens downloadt het bestanden via internet en geeft het regelmatig een berichtvenster weer.

Wanneer de Sober.AA-worm start, voert deze de volgende acties uit:

1. Maak de volgende bestanden aan:
% Windir% \ PoolData \ csrss.exe
% Windir% \ PoolData \ services.exe
% Windir% \ PoolData \ smss.exe
% Windir% \ PoolData \ spxttx1.xnt
% Windir% \ PoolData \ spxttx2.xnt
% Windir% \ PoolData \ spxttx3.xnt
% Windir% \ PoolData \\\ unnor.ssy
% Windir% \ PoolData \ xpsys.ddr
% Windir% \ PoolData \ WinD.osa

2. Voeg de volgende vermeldingen toe aan de registratiedatabase:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "WinData" = "C: \ WINDOWS \ PoolData \ services.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "_WinData" = "C: \ WINDOWS \ PoolData \ services.exe"

3. Wijzig de volgende vermeldingen in het register:
HKEY_LOCAL_MACHINE \ Software \ Beleid \ Microsoft \ Windows \ WindowsUpdate \ Auto Update ”AUOptions” = “1”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ Share dAccess \ Parameters \ FirewallPolicy \ StandardProfile "EnableFirewall" = "4"
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ wscsv c "Start" = "4"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ w scsvc "Start" = "4"

Hiermee worden de automatische updates van Windows, de ingebouwde firewall en het Beveiligingscentrum uitgeschakeld.

4. Geeft een berichtvenster weer met de titel "WinZip Self-Extractor" en "WinZip Header is missing!" bericht.

5. Wijzig de volgende bestanden:
% Systeem% \ stuurprogramma's \ TCPIP.SYS
% Systeem% \ dllcache \ TCPIP.SYS
% Windir% \ ServicePackFiles \ i386 \ TCPIP.SYS

6. Stopt de processen die zijn gekoppeld aan de beveiligingssoftware

7. Geeft een berichtvenster weer met de titel "Antivirus".

8. Tests voor een actieve internetverbinding.

9. Download een bestand via internet. Hij herhaalt dit één keer per week.

10. Verzamelt e-mailadressen uit bestanden met verschillende extensies. Bewaar ze in de volgende bestanden:
spxttx1.xnt
spxttx2.xnt
spxttx3.xnt

11. Stuur jezelf door naar de verzamelde e-mailadressen.

Het onderwerp van geïnfecteerde bladeren kan zijn:
Ihr Paswoord wurde geaendert!
Vrijstelling van correspondentie
Ihr Account wingere eingerichtet!
Uw bijgewerkte wachtwoord!
Fout in uw e-mail

Het bestand dat bij de geïnfecteerde e-mail is gevoegd, heeft de extensie .zip en bestaat uit willekeurige tekens.