Здесь может быть Ваша реклама

2baksa.ws2baksa.ws
Помощь сайту | Donate
Webmoney
Webmoney WMZ: 826074280762
Webmoney WME: 804621616710
PayPal
E-mail E-mail
YooMoney
YooMoney4100117770549562
Помощь проекту
Спасибо за поддержку!
Поиск по сайту
Вход на сайт
Меню
Последние комментарии
13:00 | Trashman
17:19 | Mausberg
08:21 | iLet
22:16 | Zolushok
21:25 | Trashman
00:11 | MerolaC
19:04 | leteha
18:35 | leteha
17:49 | MerolaC
17:31 | igormath
22:28 | leteha
20:20 | Trashman
20:20 | Trashman
20:19 | Trashman
12:01 | gedevan
22:00 | Pepa112
03:19 | IKUSAGAMI
00:23 | marlon
15:42 | Pepa112
21:37 | Trashman
Заказ рeклaмы

Купите у нас
рекламу !

Your advertising could be here !


E-mail для связи:
E-mail для связи
Партнёры
Для вас работают
Правила для авторов новостей >>
admin diim (админ)
admin brodyga (админ)
admin marlon
admin leteha
admin Ledworld
admin Mansory1
admin Masarat
admin manivell17
admin Sanchezzz
admin sibius777
admin Sergv


Обнаружена новая модификация червя Sober
Новость от: brodyga
Просмотров: 3674
Компания "Лаборатория Касперского" зафиксировала появление новой версии опасной вредоносной программы Sober. В отличие от своих предшественников, червь Sober.q не способен распространяться самостоятельно и инфицирует лишь те компьютеры, которые уже заражены вирусом Sober.p, содержащим функцию загрузки файлов из интернета. После проникновения на машину Sober.q копирует себя в системный каталог Windows и регистрируется в ключе автозапуска реестра. Кроме того, вредоносная программа способна активироваться при каждом открытии исполняемых файлов на пораженном компьютере. Далее Sober.q сканирует доступные накопители в поисках адресов электронной почты и отправляет по ним сообщения радикально-политического характера. Причем на адреса, относящиеся к доменным зонам de, ch, at, li и gmx, письма высылаются на немецком языке, а на все остальные - на английском. Вирус также создает в системном каталоге Windows файл с названием Spammer.ReadMe и следующим текстом: "Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne".

Аналогично другим модификациям семейства, Sober.q регулярно проверяет системное время. Если дата установлена на 11 мая 2005 года или более позднее число, вредоносная программа пытается загрузить определенные файлы с нескольких интернет-ресурсов, в том числе home.arcor.de, people.freenet.de и scifi.pages.at. Наконец, червь завершает работу ряда приложений, в названиях которых присутствуют строки "fxsob", "inetupd", "nod32" и пр. Процедуры защиты от вредоносной программы Sober.q уже добавлены в базу данных антивируса Касперского. Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка. Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов. Инсталляция После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами: csrss.exe services.exe smss.exe Вирус регистрирует себя в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SystemBoot"="%windir%\help\help\services.exe" Также изменяет ключ системного реестра: [...\exefile\shell\open\command] Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе. Также червь создает несколько вспомогательных файлов в системе: adcmmmmq.hjg fastso.ber gdfjgthv.cvq langeinf.lin sacri2.ggg sacri3.ggg sysonce.tst seppelmx.smx xcvfpokd.tqa Вирус ищет адреса электронной почты в файлах со следующими расширениями: abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml Найденные адреса электронной почты сохраняются в файлы с именами: voner1.von voner2.von voner3.von Вирус не собирает адреса, в которых имеются строки: .dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- iana@ icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием: [ссылка] [ссылка] Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке. По всем остальным адресам идет рассылка писем на английском языке. В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки. Прочее Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов: free.pages.at home.arcor.de home.pages.at people.freenet.de scifi.pages.at Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки: fxsob gcas gcip giantanti inetupd. microsoftanti hijack nod32kui nod32. sober s-t-i-n-g

Уважаемые пользователи nowa.cc и 2baksa.ws. У нас сложилось тяжёлое финансовое положение. Мы работаем для вас вот уже более 15 лет и сейчас вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney WMZ: 826074280762 Webmoney WME: 804621616710
PayPal PayPal_Email E-mail для связи по вопросу помощи
Кошелек для вашей помощи YooMoney 4100117770549562
YooMoney Спасибо за поддержку!

Раздел: Новости | 17.05.05 | 18:28

Внимание! Всегда проверяйте анти-вирусом файлы, полученные по ссылкам в комментариях!
Attention! Always check files you download from links in comments with your anti-virus software!
Corleone-Frenchies 18.05.05 | 04:22:07

evil
Vaidotas 18.05.05 | 06:14:26

surprised wink imel takovo gada
artur4ik 18.05.05 | 06:31:40

Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden - Я ещё не спаммер!!! но надеюсь им стать!!! . Да, походу разрабатывается ещё одна версия... wink
Iraj 18.05.05 | 10:08:03

arrow cry exclaim wink surprised
JIeruoH 04.10.05 | 03:23:06

Хм чую зря я открывал это странное письмецо mad
Для добавления комментариев необходимо зарегистрироваться на сайте
Здесь может быть Ваша реклама
Здесь может быть Ваша реклама
Design by DolpHin | Disclaimer
Реклама | E-mail для связи: E-mail для связи | Skype: diim_diim | ICQ: 400632