Kezdolap    
 
   


W32/Sober.r@MM

Adatlap

Felfedezés időpontja: 2005.10.05.
Eredet: Ismeretlen
Hossz (bájt): 113 551
Típus: Vírus
Altípus: e-mail programféreg
Szükséges adatbázis: 4598
Szükséges keresőmotor: 4.4.00

Leírás módosítva: 2005.10.06. 11:15

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes

Megjegyzés: Ha olyan e-mailt kap, amelyben a feladó azt állítja, hogy egy ön által küldött üzenet vírust tartalmazott, még nem feltétlenül jelenti azt, hogy az ön gépe ténylegesen fertőzött, mert a vírusok gyakran hamisítják a feladó címét.

Tulajdonságok

A vírus csatolt állományként terjed KlassenFoto.zip és pword_change.zip néven. A csatolt állományok PW_Klass.Pic.Packed-bitmap.exe nevű állományt tartalmaznak. A többi Sober variánshoz hasonlóan a Sober.r is angol, illetve német nyelvű üzenetben terjed a Windows operációs nyelvétől függően.

A Sober.r által küldött német nyelvű levél:

TárgyFwd: Klassentreffen
Üzenet:

ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehngt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

liebe gr
Rita,

A Sober.r által küldött angol nyelvű levél:

Tárgy:  Your new Password
Üzenet:
Your password was successfully changed! Please see the attached file for detailed information.

A

A tömörített állományban (Zip) található Exe fájl manuális futtatásakor az alábbi hibaüzenet jelenik meg:

 

A vírus a WINDOWS könyvtárban létrehoz egy ConnectionStatus nevű könyvtárat és bemásolja magát services.exe néven. A regisztrációs adatbázisban (Registry) létrehozza az alábbi kulcsokat, hogy a számítógép indulásakor automatikusan elinduljon a vírus kódja:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run " WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe

A vírus az alábbi állományokat hozza létre:

  • C:\WINDOWS\ConnectionStatus\netslot.nst
  • C:\WINDOWS\ConnectionStatus\services.exe
  • C:\WINDOWS\ConnectionStatus\socket.dli

Az alábbi állományok szintén a könyvtárban találhatók, de méretük 0 kb.

  • C:\WINDOWS\system32\bbvmwxxf.hml
  • C:\WINDOWS\system32\gdfjgthv.cvq
  • C:\WINDOWS\system32\langeinf.lin
  • C:\WINDOWS\system32\nonrunso.ber
  • C:\WINDOWS\system32\rubezahl.rub
  • C:\WINDOWS\system32\seppelmx.smx

A vírus email-en keresztül terjed és az alábbi kiterjesztésű állományokból gyűjti a címeket:

abc; abd; abx; adb; adeadp; adr; aero; asp; bak; bas; cfg; cgi; cls; cms; com; coop; csv; ctl; dbx; dhtm; doc; dsp; dsw; edu; eml; fdb; frm; gov; hlp; imb; imh; imh; imm; inbox; info; ini; int; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg; museum; nab; name; nch; net; nfo; nsf; nws; ods; oft; org; php; phtm; pl; pmr; pp; ppt; pro; pst; rtf; shtml; slk; sln; stm; tbb; txt; uin; vap; vbs; vcf; wab; wsh; whtml; xls; xml

A vírus a McAfee egyedi eltávolító programjának (Stinger) futtatásakor megjeleníti az alábbi üzenetet:

Eltávolítási utasítások

Egyedi eltávolító segédporgram: McAfee Stinger.

A Stinger aktuális verziója képes a W32/Sobig.r@MM eltávolítására. A virus tulajdonságai miatt azonban a futtatása elott változtassuk meg a stinger.exe nevét pl. s_t_i_n_g_e_r.exe-re.

Manuális eltávolítási utasítás

1. Indítsa újra a számítógépet Safe módban (A Windows indításakor F8 billentyű megnyomásával)

2. Törölje ki a SERVICES.EXE állományt a C:\WINDOWS\Connection Wizard\Status vagy a C:\WINNT\Connection Wizard\Status könyvtárból.

3. A könyvtárban található további állományokat is törölje ki:

  • netslot.nst
  • services.exe
  • socket.dli

4. Törölje az alábbi állományokat a %Sysdir% (C:\Windows\System vagy C:\Windows\System32) könyvtárból:

  • bbvmwxxf.hml
  • gdfjgthv.cvq
  • langeinf.lin
  • nonrunso.ber
  • rubezahl.rub
  • seppelmx.smx


5. Törölje az alábbi kulcsot a regisztrációs adatbázisból (Regedit Start menü / Futtatás (Run) : regedit parancs)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"_WinStart"

6. Törölje ki az alábbi kulcs értékét:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce " WinStart"

7. Indítsa újra a számítógépet normal módban.

Egyéb elnevezések

CME-151
I-Worm.Sober.U (VirusBuster)
W32.Sober.Q@mm (Symantec)
W32/Sober-O (Sophos)
W32/Sober.R@mm (Frisk)
W32/Sober.r@MM!CME-151
W32/Sober.r@MM!M-151
W32/Sober.Y.worm (Panda)
Win32.Sober.S@mm (Softwin)
 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2005.