A Sober.Y az év legnagyobb víruskitörésével fenyeget

Az F-Secure egy új Sober féreg megjelenésére figyelmeztette a számítógép-felhasználókat.

A féreg gyors és széleskörű terjedése miatt az F-Secure a legmagasabb szintű riadókészültséget rendelte el. Az elmúlt órákban több millió Sober.Y-nal fertőzött e-mailt detektáltak az internetszolgáltatók. "A Sober.Y fertőzési számai egyszerűen hatalmasak. Ez az év legnagyobb víruskitörése - legalábbis eddig!" - kommentálta az eseményeket a vállalat weblogján Mikko Hyppönen, az F-Secure kutatási igazgatója. A Sober.Y e-mail féreg azért tud ennyire sikeresen terjedni, mert az FBI, a CIA vagy a German Bundeskriminalant (BKA) nevében kiküldött álfigyelmeztetésekhez csatoltan érkezik a felhasználók postafiókjaiba. Ezek az üzenetek hasonlóak a következőhöz:


Tisztelt Uram/Hölgyem,
Az ön IP-címét több mint 30 illegális website-on találtuk meg.
Fontos:
Kérem, válaszoljon a kérdéseinkre!
A kérdések listáját csatoltuk.
Tisztelettel,
Steven Allison
Szövetségi Nyomzóiroda -FBI-

Ezek az e-mailek tömörített csatolmányokkal érkeznek. Ha a felhasználó kicsomagolja és lefuttatja a férget, akkor először egy felugró ablak nyílik meg, amelyben egy ál-anti-vírus program arról tájékoztat, hogy a fájl sem vírust, sem kémprogramot nem tartalmaz. Mindeközben a Sober féreg a rendszerbe telepíti magát.

Az első Sober férget 2003 októberében, több mint két éve fedezték fel. Az F-Secure kutatói szerint mind a 25 variánst ugyanaz a - valahol Németországban ténykedő - személy készítette. A Sober néhány változata neonáci üzeneteket küld, a legújabb kártevő azonban nem ezt teszi. Abban viszont mindegyik variáns megegyezik, hogy a német e-mail címekre német nyelvű üzeneteket, más e-mail címekre angol nyelvű üzenteket küld. Napjaink elterjedt vírusaival szemben, a Sober.Y esetében nem egyértelmű az anyagi indíttatás.

A Sober gondoskodik róla, hogy működését a korábbi féregváltozatok ne akadályozhassák, ezért a fertőzött gépen néhány speciális nevű fájlt hoz létre a \Windows\system32\ könyvtárban. A féreg megvizsgálja a fertőzött gép meghajtóit, e-mail címek után kutatva, majd a talált címekre továbbküldi önmagát. Az összegyűjtött címekből a féreg figyelmen kívül hagyja azokat, amelyek IT-biztonsági cégek, különböző médiumok vagy a hatóságok címei lehetnek.