Sober – nowa wersja

W piątek wykryto nową wersje robaka Sober, który szybko rozpowszechnia się przy pomocy poczty elektronicznej. Mikko Hypponen dyrektor przedsiębiorstwa antywirusowego F-Secure ocenił zagrożenie jako 2 stopień w skali od 1 do 3.

Polski producent oprogramowania firma G DATA Software Sp. z o.o. udostępnił już szczepionkę do usuwania robaka I-Worm.Sober.A-I. Szczegółowe informacje dot. szczepionki w dalszej części newsa.

Sober wykorzystuje do swojego rozpowszechniania własny silnik SMTP i rozsyła swoją kopię do wszystkich adresatów znalezionych w zainfekowanym systemie. Sober.i atakuje systemy z rodziny Windows XP/2000/ME/98/95/NT/Server 2003.

Kiedy wirus zostanie uruchomiony, wyświetlakomunikat o treści:

„WinZip_Data_Module is missing ~Error: {[różna wartość]}”

Tworzy w folderze systemowym dwa pliki o losowo utworzonych nazwach mogących być kombinacją wyrazów: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.

Modyfikuje rejestr systemu, dzięki czemu uruchamia się wraz z systemem Windows. Robak dodatkowo tworzy pliki o nazwach:

* CLONZIPS.SSC i ZIPPEDSR.PIZ które są archiwanymi ZIP kopiami robaka w
formacie MIME;

* CLSOBERN.ISC i NONZIPSR.NOZ, które są kopiami robaka w formacie MIME;

* WINROOT64.DAL, WINSEND32.DAL, WINMPROT.DAL i WINEXERUN.DAL, w których robak zapisuje znalezione adresy e-mail oraz gdzie zdołał już wysłać swoje kopie;

* CVQAIKXT.APK, DGSSXY.YOI, ODIN-ANON.GER, SYSMMS32.LLA i SB2RUN.DII, które zwykle są puste.

Wirus jest w stanie pobierać pliki z Internetu i uruchamiać je na zaatakowanym komputerze. Jeśli data będzie 5 styczeń 2005, robak będzie
próbował pobrać z określonych stron z Internetu dodatkowe pliki.

Charakterystyczne dla wysyłanych przez niego wiadomości jest stosowanie
podpisów, wskazujących, że mail został sprawdzony przez program
antywirusowy. Tematy wiadomości są różne i mogą być w języku angielskim lub niemieckim.

Szczepionka opracowana przez firmę G DATA Software oprócz I-Worm.Sober rozpoznaje i niszczy wirusy oraz robaki internetowe:

I-Worm.Bagle,
Worm.Mydoom,
Worm.Win32.Sasser,
W32.Netsky,
Blaster,
I-Worm.Mabutu oraz kilkadziesiąt innych,

a także usuwa pozostałości po wirusach z dysków i rejestru plików komputera. Aby usunąć wirusa z zainfekowanego komputera, należy pobrać plik szczepionki i zapisać go w dowolnej lokalizacji na dysku twardym (zalecamy lokalizację Pulpit).

Przed uruchomieniem szczepionki należy wyłączyć strażnika programu
AntiVirenKit poprzez kliknięcie prawym klawiszem myszki na ikonce
znajdującej się w zasobniku systemowym (obok zegarka) i z menu
kontekstowego wybraniu opcji Wyłącz. Rozpoczęcie procedury poszukiwania i usuwania wirusa następuje po kliknięciu przycisku Skanuj. W przypadku znalezienia plików wirusa w oknie szczepionki pojawi się odpowiedni komunikat o usunięciu zainfekowanych plików. Po usunięciu właściwych plików wirusa, szczepionka zaleca uruchomienie programu AntiVirenKit, który następnie kontroluje i leczy pozostałe, ewentualnie zarażone przez wirusa pliki.