Sobru (virus)
Sober este o familie de viermi care au fost descoperiți pe 24 octombrie 2003 .
Sober se trimite ca atașament la un e-mail (utilizând propriul motor SMTP ); odată rulat, se copiază în diferite foldere , creând și chei în registru, astfel încât să înceapă când pornește sistemul.
Sober este scris în Visual Basic și afectează numai sistemele Windows .
Virusul s-a răspândit pe scară largă în noiembrie 2005, când a infectat peste trei milioane de computere pretinzând că este un e-mail de la FBI sau CIA ; pe computerele afectate, viermele a dezactivat toate antivirusurile prezente și a recuperat informațiile personale.
Variante cunoscute
- Sober.L
- Sober.T
- Sober.X
Alias
- CME-681
- WORM_SOBER.AG
- W32 / Sober- {XZ}
- Win32.Sober.W
- Win32.Sober.O
- Sober.Y (alias Sober.X, adesea folosit de F-Secure )
- S32 / Sober @ MMIM681
- W32/Sober.AA@mm
Platformele afectate
- Familia Microsoft Windows
Acțiuni
Infecţie
Viermii de familie sobri trebuie să fie executați manual de către utilizator pentru a infecta un sistem. După executare, viermele se poate copia singur în unul dintre următoarele fișiere din folderul WINDOWS:
- antiv.exe
- csrss.exe
- driver.exe
- driverini.exe
- drv.exe
- explorer.exe
- filexe.exe
- hlp16.exe
- lssas.exe
- qname.exe
- services.exe
- smss.exe
- spoole.exe
- swchost.exe
- syshost.exe
- systemchk.exe
- systemini.exe
- winchk.exe
- winlog32.exe
- winreg.exe
Ulterior, viermele adaugă chei în registru care îi permit să ruleze automat la pornire.
Difuzie
Sober poate fi auto-e-mail prin intermediul motorului său SMTP către toate persoanele de contact din agenda Outlook a utilizatorului.
Dezactivarea software-ului antivirus
Sober poate dezactiva multe antivirusuri , inclusiv Microsoft AntiSpyware și HijackThis .
Constatări
- 24 octombrie 2003 - Prima apariție a virusului
- 3 martie 2005 - Varianta L
- 14 noiembrie 2005 - Varianta T
- 15 noiembrie 2005 - Varianta X
Motivații politice
În mai 2005, a apărut varianta Q a viermelui sobru, singura care părea motivată politic.
Spre deosebire de celelalte variante, aceasta din urmă redirecționează utilizatorul către o pagină electorală politică germană fără malware, cu scopul de a promova Partidul Naționalist German.
Au existat, de asemenea, modificări suplimentare ale virusului întotdeauna pentru a face publice campaniile politice, întotdeauna originare din Germania .
linkuri externe
- „ Virusul Internet circulă deghizat în e-mail de la guvernul SUA ”. Wikinews, 26 noiembrie 2005.
- Articol de știri BBC