Трезвый (червь) - Sober (worm)

В Трезвый червь это семья компьютерные черви который был обнаружен 24 октября 2003 года. Как и многие другие черви, Sober рассылает себя как вложения электронной почты, поддельные веб-страницы, поддельные всплывающая реклама, и поддельная реклама.

Черви Sober должны быть распакованы и запущены пользователем. После выполнения Sober копирует себя в один из нескольких файлов в каталоге Windows, в зависимости от варианта. Затем он добавляет соответствующие ключи в Реестр Windows вместе с несколькими пустыми файлами в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Sober написано на Visual Basic и работает только на Майкрософт Виндоус Платформа.

Известные варианты

Sober.L
Sober.T
Sober.X^[1]
Sober.Y
Sober.Z

Псевдонимы

CME-681
WORM_SOBER.AG
W32 / Sober- {X-Z}
Win32.Sober.W
Win32.Sober.O
Sober.Y (не вариант, а другое название Sober.X, часто используемое F-Secure )
S32 / Трезвый @ MMIM681
W32/Sober.AA@mm

Затронутые платформы

Майкрософт Виндоус семья

Действия

Инфекция

Черви Sober должны быть распакованы и запущены пользователем. После выполнения Sober копирует себя в один из следующих файлов в каталоге Windows: -

antiv.exe
csrss.exe
driver.exe
driverini.exe
drv.exe
explorer.exe
filexe.exe
hlp16.exe
lssas.exe
qname.exe
services.exe
smss.exe
spoole.exe
swchost.exe
syshost.exe
systemchk.exe
systemini.exe
winchk.exe
winlog32.exe
winreg.exe

Затем он добавляет соответствующие ключи в Реестр Windows для обеспечения активации при запуске Windows вместе с несколькими пустыми файлами в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Распространение

Sober может отправлять себя по электронной почте на все адреса в адресной книге электронной почты пользователя. Он распространяется по электронной почте, используя собственные SMTP двигатель.

Деактивация программного обеспечения безопасности

Sober может отключить несколько популярных антивирусная программа пакеты, а также Microsoft AntiSpyware и HijackThis.

Вспышки

24 октября 2003 г. - Первое открытие.
3 марта 2005 г. - Sober.L
14 ноября 2005 г. - Sober.T
15 ноября 2005 г. - Sober.X

Вспышка 21 ноября 2005 г.

Электронные письма, содержащие червя Sober X, рассылались по Интернету, замаскированные под сообщения электронной почты от одного из Федеральное Бюро Расследований или Центральное Разведывательное Управление, обе организации Соединенные Штаты правительство. В электронном письме утверждалось, что получатель был пойман на посещении незаконных веб-сайтов, и предлагалось пользователю открыть вложение, чтобы ответить на некоторые вопросы. После открытия зараженного вложения произошло множество событий, повреждающих систему: были отключены антивирус и другие меры безопасности, а также возможность доступа к веб-сайтам для получения помощи; кроме того, контактам в адресной книге пользователя было отправлено идентичное электронное письмо. Также есть подозрения, что Sober.X функционирует как шпионское ПО путем кражи личной информации о зараженном пользователе.

MessageLabs, компания по компьютерной безопасности, поймала не менее трех миллионов копий в течение 24 часов после взлома, и McAfee, другая исследовательская компания по системной безопасности, сообщила о более чем 70 000 случаев заражения вирусом на потребительских компьютерах.

Аналогичное электронное письмо было распространено в Германии. Заявление об отправке Bundeskriminalamt, в электронном письме читателям сообщалось, что их поймали за загрузкой "пиратский "Программное обеспечение. Sober.X был включен во вложение.

Политические мотивы

В мае 2005 г. вариант Появился Sober.Q. В то время как предыдущие варианты, казалось, были мотивированы коммерческой выгодой или злым умыслом, это было первым, что казалось политически мотивированным.

Другие варианты (например, Sober.B) отправляли электронные письма с тематическими заголовками, которые также указывали на политические намерения, но, похоже, они были созданы для того, чтобы вызвать интерес жертвы, чтобы он или она открыли вложение электронного письма. Sober.Q не отправляет электронные письма с вложениями, вместо этого предпочитая ссылки на веб-сайты, не содержащие вирусов.

Sober.Q распространяется на компьютеры, чтобы отправлять сообщения поддержки далеко справа группы в Германия в ожидании местных выборов в штате Северный Рейн-Вестфалия. Большинство из них, по всей видимости, были в поддержку или непосредственно от немецкой политической партии. NPD (Националистическая партия Германии) со ссылками на их веб-сайт, а также на другие записи форума. Однако неизвестно, исходил ли этот вирус от самих NPD, сторонников партии, хакерской группы, пытающейся возложить вину на партию, или группы, пытающейся дискредитировать партию.

Подобно вышеупомянутому инциденту, вирус Sober был снова использован в 2005 году неустановленной немецкой группой для массовой рассылки ссылок на различные политические статьи и комментарии.^[2] Казалось, что эти усилия были связаны с выборами в Германии примерно в то же время.^[3]

использованная литература

^ "Трезвый". Wikidot.com. Wikidot. Получено 5 сентября 2018.
^ Немецкий политический спам, распространяемый вирусом, Боб Салливан, NBC News, 16.05.05.
^ Спамить всем на выборах в Германии, Алан Коннор, статья opendemocracy.net от 23 мая 2005 г.

внешние ссылки

"Интернет-вирус распространяется под видом электронной почты от правительства США. »Викиновости, 26 ноября 2005 г.
Новостная статья BBC

[1] "Трезвый". Wikidot.com. Wikidot. Получено 5 сентября 2018.

[2] Немецкий политический спам, распространяемый вирусом, Боб Салливан, NBC News, 16.05.05.

[3] Спамить всем на выборах в Германии, Алан Коннор, статья opendemocracy.net от 23 мая 2005 г.

[1]

[2]

[3]