A Sober.Y az év legnagyobb víruskitörésével fenyeget

forrás Prim Online, 2005. november 23. 10:55

Az F-Secure Corporation, az IT-biztonsági megoldások egyik vezető szállítója figyelmezteti a számítógép-felhasználókat egy új Sober féreg, a Sober.Y terjedésére. A féreg gyors és széleskörű terjedése miatt az F-Secure a legmagasabb szintű riadókészültséget rendelte el. Az elmúlt órákban több millió Sober.Y-nal fertőzött e-mailt detektáltak az internetszolgáltatók.

„A Sober.Y fertőzési számai egyszerűen hatalmasak. Ez az év legnagyobb víruskitörése – legalábbis eddig!” – kommentálta az eseményeket a vállalat weblogján Mikko Hyppönen, az F-Secure Corporation kutatási igazgatója.

A Sober.Y e-mail féreg azért tud ennyire sikeresen terjedni, mert az FBI, a CIA vagy a German Bundeskriminalant (BKA) nevében kiküldött álfigyelmeztetésekhez csatoltan érkezik a felhasználók postafiókjaiba. Ezek az üzenetek hasonlóak a következőhöz:

Tisztelt Uram/Hölgyem,
Az ön IP-címét több mint 30 illegális website-on találtuk meg.
Fontos:
Kérem, válaszoljon a kérdéseinkre!
A kérdések listáját csatoltuk.
Tisztelettel,
Steven Allison
Szövetségi Nyomzóiroda -FBI-

Ezek az e-mailek tömörített csatolmányokkal érkeznek. Ha a felhasználó kicsomagolja és lefuttatja a férget, akkor először egy felugró ablak nyílik meg, amelyben egy ál-anti-vírus program arról tájékoztat, hogy a fájl sem vírust, sem kémprogramot nem tartalmaz. Mindeközben a Sober féreg a rendszerbe telepíti magát.

Az első Sober férget 2003 októberében, több mint két éve fedezték fel. Az F-Secure kutatói szerint, mind a 25 variánst ugyanaz a – valahol Németországban ténykedő – személy készítette. A Sober néhány változata neonáci üzeneteket küld, a legújabb kártevő azonban nem ezt teszi. Abban viszont mindegyik Sober variáns megegyezik, hogy a német e-mail címekre német nyelvű üzeneteket, más e-mail címekre angol nyelvű üzenteket küld. Napjaink elterjedt vírusaival szemben, a Sober.Y esetében nem egyértelmű az anyagi indíttatás.

A Sober gondoskodik róla, hogy működését a korábbi féregváltozatok ne akadályozhassák, ezért a fertőzött gépen néhány speciális nevű fájlt hoz létre a Windowssystem32 könyvtárban. A féreg megvizsgálja a fertőzött gép meghajtóit, e-mail címek után kutatva, majd a talált címekre továbbküldi önmagát. Az összegyűjtött címekből a féreg figyelmen kívül hagyja azokat, amelyek IT-biztonsági cégek, különböző médiumok vagy a hatóságok címei lehetnek.

Az F-Secure Anti-Virus észleli és eltávolítja a Sober.Y-t.

További információ az F-Secure weblogján:
http://www.f-secure.com/weblog/