Трезвый (червь) - Sober (worm)

В Трезвый червь это семья компьютерные черви который был обнаружен 24 октября 2003 года. Как и многие другие черви, Sober рассылает себя как вложения электронной почты, поддельные веб-страницы, поддельные всплывающая реклама, и поддельная реклама.

Черви Sober должны быть распакованы и запущены пользователем. После выполнения Sober копирует себя в один из нескольких файлов в каталоге Windows, в зависимости от варианта. Затем он добавляет соответствующие ключи в Реестр Windows вместе с несколькими пустыми файлами в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Sober написано на Visual Basic и работает только на Майкрософт Виндоус Платформа.

Известные варианты

  • Sober.L
  • Sober.T
  • Sober.X[1]
  • Sober.Y
  • Sober.Z

Псевдонимы

  • CME-681
  • WORM_SOBER.AG
  • W32 / Sober- {X-Z}
  • Win32.Sober.W
  • Win32.Sober.O
  • Sober.Y (не вариант, а другое название Sober.X, часто используемое F-Secure )
  • S32 / Трезвый @ MMIM681
  • W32/Sober.AA@mm

Затронутые платформы

Действия

Инфекция

Черви Sober должны быть распакованы и запущены пользователем. После выполнения Sober копирует себя в один из следующих файлов в каталоге Windows: -

  • antiv.exe
  • csrss.exe
  • driver.exe
  • driverini.exe
  • drv.exe
  • explorer.exe
  • filexe.exe
  • hlp16.exe
  • lssas.exe
  • qname.exe
  • services.exe
  • smss.exe
  • spoole.exe
  • swchost.exe
  • syshost.exe
  • systemchk.exe
  • systemini.exe
  • winchk.exe
  • winlog32.exe
  • winreg.exe

Затем он добавляет соответствующие ключи в Реестр Windows для обеспечения активации при запуске Windows вместе с несколькими пустыми файлами в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Распространение

Sober может отправлять себя по электронной почте на все адреса в адресной книге электронной почты пользователя. Он распространяется по электронной почте, используя собственные SMTP двигатель.

Деактивация программного обеспечения безопасности

Sober может отключить несколько популярных антивирусная программа пакеты, а также Microsoft AntiSpyware и HijackThis.

Вспышки

  1. 24 октября 2003 г. - Первое открытие.
  2. 3 марта 2005 г. - Sober.L
  3. 14 ноября 2005 г. - Sober.T
  4. 15 ноября 2005 г. - Sober.X

Вспышка 21 ноября 2005 г.

Электронные письма, содержащие червя Sober X, рассылались по Интернету, замаскированные под сообщения электронной почты от одного из Федеральное Бюро Расследований или Центральное Разведывательное Управление, обе организации Соединенные Штаты правительство. В электронном письме утверждалось, что получатель был пойман на посещении незаконных веб-сайтов, и предлагалось пользователю открыть вложение, чтобы ответить на некоторые вопросы. После открытия зараженного вложения произошло множество событий, повреждающих систему: были отключены антивирус и другие меры безопасности, а также возможность доступа к веб-сайтам для получения помощи; кроме того, контактам в адресной книге пользователя было отправлено идентичное электронное письмо. Также есть подозрения, что Sober.X функционирует как шпионское ПО путем кражи личной информации о зараженном пользователе.

MessageLabs, компания по компьютерной безопасности, поймала не менее трех миллионов копий в течение 24 часов после взлома, и McAfee, другая исследовательская компания по системной безопасности, сообщила о более чем 70 000 случаев заражения вирусом на потребительских компьютерах.

Аналогичное электронное письмо было распространено в Германии. Заявление об отправке Bundeskriminalamt, в электронном письме читателям сообщалось, что их поймали за загрузкой "пиратский "Программное обеспечение. Sober.X был включен во вложение.

Политические мотивы

В мае 2005 г. вариант Появился Sober.Q. В то время как предыдущие варианты, казалось, были мотивированы коммерческой выгодой или злым умыслом, это было первым, что казалось политически мотивированным.

Другие варианты (например, Sober.B) отправляли электронные письма с тематическими заголовками, которые также указывали на политические намерения, но, похоже, они были созданы для того, чтобы вызвать интерес жертвы, чтобы он или она открыли вложение электронного письма. Sober.Q не отправляет электронные письма с вложениями, вместо этого предпочитая ссылки на веб-сайты, не содержащие вирусов.

Sober.Q распространяется на компьютеры, чтобы отправлять сообщения поддержки далеко справа группы в Германия в ожидании местных выборов в штате Северный Рейн-Вестфалия. Большинство из них, по всей видимости, были в поддержку или непосредственно от немецкой политической партии. NPD (Националистическая партия Германии) со ссылками на их веб-сайт, а также на другие записи форума. Однако неизвестно, исходил ли этот вирус от самих NPD, сторонников партии, хакерской группы, пытающейся возложить вину на партию, или группы, пытающейся дискредитировать партию.

Подобно вышеупомянутому инциденту, вирус Sober был снова использован в 2005 году неустановленной немецкой группой для массовой рассылки ссылок на различные политические статьи и комментарии.[2] Казалось, что эти усилия были связаны с выборами в Германии примерно в то же время.[3]

использованная литература

  1. ^ "Трезвый". Wikidot.com. Wikidot. Получено 5 сентября 2018.
  2. ^ Немецкий политический спам, распространяемый вирусом, Боб Салливан, NBC News, 16.05.05.
  3. ^ Спамить всем на выборах в Германии, Алан Коннор, статья opendemocracy.net от 23 мая 2005 г.

внешние ссылки