Помощь сайту | Donate
Поиск по сайту
Вход на сайт
Меню
Форум NoWa.cc На главную • Программы • Релизы • Наборы AIO • ОС • Мобила • Игры • Видео • Музыка • Книги • Аудиокниги • Оформление • Photoshop • Юмор • Новости • Железо • Разное Последние комментарии
Trashman
13:00 | 17:19 | Mausberg 08:21 | iLet 22:16 | Zolushok 21:25 | Trashman 00:11 | MerolaC 19:04 | leteha 18:35 | leteha 17:49 | MerolaC 17:31 | igormath 22:28 | leteha 20:20 | Trashman 20:20 | Trashman 20:19 | Trashman 12:01 | gedevan 22:00 | Pepa112 03:19 | IKUSAGAMI 00:23 | marlon 15:42 | Pepa112 21:37 | Trashman Заказ рeклaмы
Купите у нас рекламу ! Your advertising could be here ! E-mail для связи: Партнёры
Для вас работают
brodyga (админ) marlon leteha Ledworld Mansory1 Masarat manivell17 Sanchezzz sibius777 Sergv |
Обнаружена новая модификация червя Sober
Новость от: brodyga
Просмотров: 3674
Компания "Лаборатория Касперского" зафиксировала появление новой версии опасной вредоносной программы Sober.
В отличие от своих предшественников, червь Sober.q не способен распространяться самостоятельно и инфицирует лишь те компьютеры, которые уже заражены вирусом Sober.p, содержащим функцию загрузки файлов из интернета. После проникновения на машину Sober.q копирует себя в системный каталог Windows и регистрируется в ключе автозапуска реестра. Кроме того, вредоносная программа способна активироваться при каждом открытии исполняемых файлов на пораженном компьютере.
Далее Sober.q сканирует доступные накопители в поисках адресов электронной почты и отправляет по ним сообщения радикально-политического характера. Причем на адреса, относящиеся к доменным зонам de, ch, at, li и gmx, письма высылаются на немецком языке, а на все остальные - на английском. Вирус также создает в системном каталоге Windows файл с названием Spammer.ReadMe и следующим текстом: "Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne".
Аналогично другим модификациям семейства, Sober.q регулярно проверяет системное время. Если дата установлена на 11 мая 2005 года или более позднее число, вредоносная программа пытается загрузить определенные файлы с нескольких интернет-ресурсов, в том числе home.arcor.de, people.freenet.de и scifi.pages.at. Наконец, червь завершает работу ряда приложений, в названиях которых присутствуют строки "fxsob", "inetupd", "nod32" и пр. Процедуры защиты от вредоносной программы Sober.q уже добавлены в базу данных антивируса Касперского. Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка. Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов. Инсталляция После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами: csrss.exe services.exe smss.exe Вирус регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SystemBoot"="%windir%\help\help\services.exe" Также изменяет ключ системного реестра: [...\exefile\shell\open\command] Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе. Также червь создает несколько вспомогательных файлов в системе: adcmmmmq.hjg fastso.ber gdfjgthv.cvq langeinf.lin sacri2.ggg sacri3.ggg sysonce.tst seppelmx.smx xcvfpokd.tqa Вирус ищет адреса электронной почты в файлах со следующими расширениями: abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml Найденные адреса электронной почты сохраняются в файлы с именами: voner1.von voner2.von voner3.von Вирус не собирает адреса, в которых имеются строки: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- iana@ icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием: [ссылка] [ссылка] Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке. По всем остальным адресам идет рассылка писем на английском языке. В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки. Прочее Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов: free.pages.at home.arcor.de home.pages.at people.freenet.de scifi.pages.at Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки: fxsob gcas gcip giantanti inetupd. microsoftanti hijack nod32kui nod32. sober s-t-i-n-g
Раздел: Новости | 17.05.05 | 18:28
|
Design by DolpHin | Disclaimer Реклама | E-mail для связи: | Skype: diim_diim | ICQ: 400632 |