Nowy Sober o polityce

Wykryto kolejną odmianę robaka internetowego z rodziny Sober. Nowy robak rozprzestrzenia się, dzięki swojej wcześniejszej odmianie, wyposażonej w opcję pobierania plików z różnych stron internetowych. Dzięki temu, nowy robak atakuje tylko te komputery, które wcześniej zostały zainfekowane przez poprzednią odmianę robaka Sober.

Nowa odmiana Sober to modyfikacja kodu źródłowego robaka pocztowego Win32.HLLM.Sober, jednak nie posiada funkcji rozpowszechniania swojego kodu za pomocą pliku - załącznika do e-maila.

Zamiast tego program rozsyła pocztą elektroniczną różnego rodzaju teksty o charakterze radykalno-politycznym.

Po uruchomieniu na komputerze zainfekowanym przez swojego poprzednika, nowa odmiana Sober kopiuje się do katalogu systemowego Windows i w odpowiedni sposób modyfikuje klucze rejestru odpowiadające za autostart oraz uruchamianie dowolnego pliku wykonywalnego w zainfekowanym systemie.

Oprócz tego, robak tworzy w katalogu systemowym Windows kilka plików wspomagających o różnych nazwach. Następnie robak skanuje system plików porażonego komputera i zapisuje do specjalnych plików wszystkie wyszukane adresy e-mail, za wyjątkiem dużych producentów oprogramowania antywirusowego.

Następnie robak wykonuje szereg czynności, nie wpisująch się w standardowy algorytm działań robaków z rodziny Sober.

Wirus tworzy plik o nazwie %system%\Spammer.ReadMe, zawierający tekst w języku niemieckim: Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne.

Następnie rozsyła na wszystkie wyszukane adresy, należące do stref domenowych de, ch, at, li i gmx, e-maile w języku niemieckim o charakterze radykalno-politycznym, a na wszystkie pozostałe adresy, e-maile w języku angielskim.

Kod robaka zawiera kilkanaście różnych wariantów tego typu tekstów.
Na koniec, tak jak jego poprzednicy, nowy Sober poprzez kilkakrotne odwołania do serwerów NTP regularnie kontroluje czas systemowy.

W przypadku, gdy data odpowiada 11 maja 2005 roku lub późniejszej, robak próbuje załadować dowolne pliki z kilku portali internetowych.

Robak próbuje również wyszukać w pamięci i przerwać pracę aplikacji, zawierających w nazwie następujące frazy: fxsob, gcas, gcip, giantanti, hijack, inetupd, microsoftanti, nod32kui, nod32, sober, s-t-i-n-g.

Źródło: DrWeb