• تعداد بازديد :
  • پنج شنبه 1382/11/23
  • تاريخ :

آشنایی با ویروس

Sober

اسم كرم :Sober

نام مستعار : I-Worm.Sober

نوع دیگر :Sober.A

Sober یك كرم ایمیل است كه از طریق فرستادن تكنیكmailing درWorm ها پخش و زیاد می شود .این كرم پیغامی به زبانهای ایگلیسی و آلمانی به ایمیل كاربران می فرستد ، برای همین نمی توان تشخیص داد كه نویسنده آن آلمانی یا انگلیسی  است .

Sober برای اجرای خود اخطار های ایمنی را به كاربران نشان می دهد . این كرم از ضمیمه هایی به نام های Anti_Virusdoc.pif وCheck Patch.bat و غیره كه در آخر این مقاله لیست كامل این فایل ها را ارائه شده است ، استفاده می كند .

جزئیات توصیف :

این كرم توسط UPX پكیج شده و با  زبان برنامه نویسیVB طراحی شده است و در درون خود از  یكSMTP  برای ارسال میل ها استفاده می كند .

نصب شدن بر روی سیستم :

پس از فعال شدن این برنامه در رجیستری ویندوز این تغییرات ایجاد می شود :

[HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]یا[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] این كلید ها برای باز خوانی بدنه كرم است كه بعضی اوقات ویروس كپی هایی از خود را در این مكان ها به این اسم فایل ها صادر می كند :%SysDir%/similare.exe%SysDir%/sysrunll.exe این كرم قادر است درClinte های زیر به راحتی فعالیت كرده و پخش شود :X-Mailer: Microsoft Outlook Express 6.00.2600.0000X-Mailer: Microsoft Outlook Express 5.00.3018.1300X-Mailer: Safety_Mail ServerX-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)X-Mailer: Microsoft OutlookIMO, Build 9.0.نحوه پخش شدن درایمیل ها : این كرم ایمیلی را باSubjects های زیر در زبان آلمانی می فرستد :Neuer Virus im Umlauf!Back At The Funny FarmSie versenden Spam Mails (Virus?)Ein Wurm ist auf Ihrem Computer!Langsam reicht es mirSie haben mir einen Wurm geschickt!Hi Schnuckel was machst du so ?VORSICHT!!! Neuer Mail WurmRe: KontaktRE: SexSorry, Ich habe Ihre Mail bekommenHi Olle, lange niks mehr gehRe: lolViurs blockiert jeden PC (Vorsicht!)berraschungIch habe Ihre E-Mail bekommen !Jetzt rate mal, wer ich bin !?Neue Sobig Variante (Lesen!!)Ich Liebe Dich و در ربان اتگلیسی با موضوع های زیر میل ارسال می شود : Congratulations!! Your Sobig Worms are very good!!!You are a very good programmer!Yours faithfullyOdin alias AnonOdin_Worm.exeNew internet virus!You send spam mails (Worm?)A worm is on your computer!You have sent me a virus!Hi darling, what are you doing now?Be careful! New mail wormRe: ContactSorry, I've become your mailHey man, long not see youViurs blocked every PC (Take care!)SurpriseI've become your mail!Advise who I am!New Sobig-Worm variation (please read)I love you (I'm not a virus!)I permanently get Spam-Mails from you and inside is a virus!!You should remove these thing. ضمیمه این میل ها كه حاوی بدنه ویروس است ، عبارتند از: AntiVirusDoc.pifCheck-Patch.batScreen_Doku.scrRemoval-Tool.exePerversionen.scrCM-Recover.comBild.scrschnitzel.exerobot_mail.scrRobotMailer.comPrivat.exeAntiTrojan.exeMausi.scrNackiDei.comAnti-Sob.batsecurity.pifFunny.scrLiebe.comOdin_Worm.execheck-patch.batanti_virusdoc.pifperversion.scrremoval-tool.exescreen_doc.scrpotency.pifCM-Recover.compic.scrplayme.exerobot_mailer.pifprivate.exeanti-trojan.exelove.comnacked.comanti-Sob.batNAV.piffunny.scrlittle-scr.scr

UserName