Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A Win32/Sober.N féreg
elnevezései az egyes vírusvédelmek szerint:
|
Avast
|
Win32:Sober-L
|
|
AVG
|
I-Worm/Sober.O
|
|
BitDefender
|
Win32.Sober.N@mm
|
|
e-Trust
|
Win32/Sober.M!ZIP
|
|
F-PROT
|
W32/Sober.N@mm
|
|
F-Secure
|
Email-Worm.Win32.Sober.n
|
|
Ikarus
|
Email-Worm.Win32.Sober.N
|
|
Kaspersky
|
Email-Worm.Win32.Sober.n
|
|
McAfee
|
W32/Sober.o@MM!zip(Virus)
|
|
Microsoft
|
Win32/Sober.M@mm!CME414
|
|
NOD32 (ESET)
|
Win32/Sober.N
|
|
Norton Antivirus
|
W32.Sober.N@mm
|
|
Panda
|
W32/Sober.U.worm!CME-414
|
|
Rising Antivirus
|
Worm.Sober.l
|
|
Sophos
|
W32/Sober-M
|
|
Trend Micro
|
WORM_SOBER.N
|
|
VirusBuster
|
I-Worm.Sober.P
|
Telepítés:
A Win32/Sober.N féreg
a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza
az alábbi fájlokat:
- adcmmmmq.hjg
- langeinf.lin
- nonrunso.ber
- xcvfpokd.tqa
- adcmmmmq.hjg
- langeinf.lin
- nonrunso.ber
- xcvfpokd.tqa
A Win32/Sober.N féreg
az ideiglenes (Temp) mappában létrehozhatja
a(z)
mail.document.Datex-packed.txt
nevű fájlt.
A Win32/Sober.N féreg
az alábbi fájlokat hozza létre:
- C:\Windows\Config\system\maddys.xyz
- C:\Windows\Config\system\zipped.wrm
- C:\Windows\Config\system\maddys.xyz
- C:\Windows\Config\system\zipped.wrm
A Win32/Sober.N féreg
a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "_SystemCheck"="C:\WINDOWS\Config\system\services.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SystemCheck"="C:\WINDOWS\Config\system\services.exe"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "_SystemCheck"="C:\WINDOWS\Config\system\services.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SystemCheck"="C:\WINDOWS\Config\system\services.exe"
E-mail üzenetek
A Win32/Sober.N féreg
a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.
|
|
A Win32/Sober.N féreg
különböző karakteriszikájú e-mail-eket hoz létre. A vírusok, férgek ezt általában annak az érdekében teszik,
hogy a különböző domainekre megfelelő nyelvi szöveget tudjanak elküldeni.
Az összeállított e-mail üzenetek felépítése az alábbi:
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- -dav
- .dial.
- .ppp.
- .qmail@
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @nai.
- @panda
- @smtp.
- @sophos
- @www
- abuse
- antivir
- anyone
- anywhere
- bellcore.
- bitdefender
- clock
- detection
- domain.
- emsisoft
- ewido.
- free-av
- freeav
- ftp.
- host.
- icrosoft.
- law2
- linux
- mailer-daemon
- mustermann@
- nlpmail01.
- noreply
- nothing
- reciver@
- secure
- smtp-
- somebody
- someone
- spybot
- sql.
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
-
vissza...
|
Tárgy |
A levél lehetséges tárgya:
FwD: Ich bin's nochmal
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
Private-Texte.zip
.
|
Szöveg |
Az e-mail szövege:
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)
|
Feladó |
A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.
|
Címzett |
A féreg
az e-mail üzeneteket az összegyűjtött címekre küldi el.
Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre:
- -dav
- .dial.
- .ppp.
- .qmail@
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @nai.
- @panda
- @smtp.
- @sophos
- @www
- abuse
- antivir
- anyone
- anywhere
- bellcore.
- bitdefender
- clock
- detection
- domain.
- emsisoft
- ewido.
- free-av
- freeav
- ftp.
- host.
- icrosoft.
- law2
- linux
- mailer-daemon
- mustermann@
- nlpmail01.
- noreply
- nothing
- reciver@
- secure
- smtp-
- somebody
- someone
- spybot
- sql.
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
-
vissza...
|
Tárgy |
A levél lehetséges tárgya:
I've_got your EMail on my_account!
|
Melléklet |
A féreg
által küldött e-mail üzenet melléklete
your_text.zip
.
|
Szöveg |
Az e-mail szövege:
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.
teljes lista...
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.
|
|
