24.11.2004, 15:00

Avastati uus versioon viirusest Sober.I

Viirustõrjetootja Kaspersky teatas, et tuvastati uus versioon ussviirusest Sober.I, mis levib interneti teel nakatunud e-kirja lisandina.

Peale teiste sellele kahjurprogrammitüübile omaste funktsioonide seisneb Sober.I hävitav toime ussi kehas sisalduvas mehhanismis, mis lubab eemalt arvutisse laadida suvalisi, kurjategija soovi järgi käivitatavaid faile, vahendab Eesti Päevaleht Online.

„Sober.I” puhul kasutatakse võrguussidele tavalist käivitusprotseduuri: uss aktiviseerub, kui arvutikasutaja avab nakatunud kirjale lisatud faili. Peale käivitumist väljastab uss ekraanile valeteate vea kohta: “WinZip Self-Extractor. WinZip_Data_Module is missing ~Error”.

Seejärel loob ta Windows’i süsteemikataloogis kaks faili meelevaldselt, ussi kehas leiduva nimekirja alusel, koostatud nimega. Need failid ongi ussi põhikomponendid, mis viivad läbi aadresside kogumise ja koopiate laiali saatmise e-posti abil.

Seejärel kopeerib „Sober.I” end Windows’i süsteemikataloogi ja registreerib ennast süsteemiregistri automaatkäivitusvõtmesse. Peale selle loob ta Windows-i süsteemikataloogis mitu lisakoopiat ja abifaili erinevate nimede all. Levimiseks skaneerib „Sober.I” nakatunud arvuti failisüsteemi, et leida e-posti aadresse ning saadab end leitud aadressidel edasi. Posti edastamiseks kasutab uss sisseehitatud SMTP serverit.

„Sober.I”-ga nakatunud kirjad sisaldavad erinevaid teemasid ja tekste saksa või inglise keeles (mõnikümmend varianti), mis pannakse juhuslikul valikul mitmest osast kokku. Ka lisandi nimi võib varieeruda erinevate laienditega: „pif”, „zip”, „bat”.

Kommenteeri Loe kommentaare