Jump to content

Трезвый (компьютерный червь)

(Перенаправлено с Sober worm )

Червь Sober — это семейство компьютерных червей , обнаруженных 24 октября 2003 года. Как и многие черви, Sober рассылает себя в виде вложений в электронные письма , поддельных веб-страниц, поддельных всплывающих окон и поддельных рекламных объявлений.

Черви Sober должны быть распакованы и запущены пользователем. При выполнении Sober копирует себя в один из нескольких файлов в каталоге Windows, в зависимости от варианта. Затем он добавляет соответствующие ключи в реестр Windows вместе с несколькими пустыми файлами в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Sober написан на Visual Basic и работает только на платформе Microsoft Windows .

Известные варианты

[ редактировать ]
  • Трезвый.L
  • Трезвый.Т
  • Трезвый.X [ 1 ]
  • Трезвый.Y
  • Трезвый.Z

Псевдонимы

[ редактировать ]
  • CME-681
  • WORM_SOBER.AG
  • W32/Трезвый-{XZ}
  • Win32.Sober.W
  • Win32.Sober.O
  • Sober.Y (не вариант, а другое название Sober.X, часто используемое F-Secure )
  • S32/Трезвый@MMIM681
  • W32/Sober.AA@mm

Затронутые платформы

[ редактировать ]

Действия

[ редактировать ]

Инфекция

[ редактировать ]

Черви Sober должны быть распакованы и запущены пользователем. После выполнения Sober копирует себя в один из следующих файлов в каталоге Windows:

  • antiv.exe
  • csrss.exe
  • драйвер.exe
  • драйверини.exe
  • drv.exe
  • explorer.exe
  • файлexe.exe
  • hlp16.exe
  • lssas.exe
  • qname.exe
  • сервисы.exe
  • sms.exe
  • спул.exe
  • swchost.exe
  • syshost.exe
  • systemchk.exe
  • systemini.exe
  • винчок.exe
  • winlog32.exe
  • winreg.exe

Затем он добавляет соответствующие ключи в реестр Windows , чтобы обеспечить активацию при запуске Windows, а также несколько пустых файлов в каталоге Windows. Эти пустые файлы используются для деактивации предыдущих вариантов Sober.

Распространение

[ редактировать ]

Sober может отправлять электронные письма на все адреса в адресной книге электронной почты пользователя. Он распространяется по электронной почте с использованием собственного механизма SMTP .

Деактивация защитного ПО

[ редактировать ]

Sober может деактивировать несколько популярных пакетов антивирусного ПО , а также Microsoft AntiSpyware и HijackThis .

Вспышки

[ редактировать ]
  1. 24 октября 2003 г. – Первое открытие.
  2. 3 марта 2005 – Sober.L
  3. 14 ноября 2005 – Трезвый.Т
  4. 15 ноября 2005 г. - Sober.X

Вспышка 21 ноября 2005 г.

[ редактировать ]
В Викиновостях есть связанные новости:

Электронные письма, содержащие червя Sober X, рассылались по Интернету под видом электронного письма либо от Федерального бюро расследований , либо от Центрального разведывательного управления — обеих организаций правительства США . В электронном письме утверждалось, что получателя поймали на посещении нелегальных веб-сайтов, и предлагалось открыть вложение, чтобы ответить на несколько вопросов. После открытия зараженного вложения происходили различные события, наносящие ущерб системе: отключались антивирус и другие меры безопасности, а также возможность доступа к веб-сайтам для получения помощи; кроме того, контактам в адресной книге пользователя было отправлено идентичное электронное письмо. Также подозревается, что Sober.X действует как шпионское ПО , крадя личную информацию о зараженном пользователе.

Компания MessageLabs, занимающаяся компьютерной безопасностью, обнаружила не менее трех миллионов копий вируса в течение 24 часов после взлома, а McAfee , еще одна исследовательская фирма по системной безопасности, сообщила о более чем 70 000 случаях заражения вирусом на потребительских компьютерах.

Аналогичное письмо было распространено в Германии. утверждающем, что оно отправлено Бундескриминаламтом , В электронном письме, читателям сообщалось, что они были пойманы на загрузке « пиратского » программного обеспечения. Sober.X был включен во вложение.

Политические мотивы

[ редактировать ]

В мае 2005 года появился вариант Sober.Q. В то время как предыдущие варианты, казалось, были мотивированы коммерческой выгодой или злым умыслом, этот был первым, который выглядел политически мотивированным.

Другие варианты (например, Sober.B) отправляли электронные письма с заголовками тем, которые также указывали на политические намерения, но они, похоже, были созданы для того, чтобы пробудить интерес жертвы, чтобы она открыла вложение к электронному письму. Sober.Q не отправляет электронные письма с вложениями, предпочитая ссылки на веб-сайты, не содержащие вирусов.

Sober.Q распространялся на компьютерах для отправки сообщений в поддержку крайне правых группировок в Германии в преддверии местных выборов в земле Северный Рейн-Вестфалия . Большинство из них, похоже, поддерживали немецкую политическую партию NPD (Националистическая партия Германии) или непосредственно исходили от нее со ссылками на ее веб-сайт, а также на другие записи на форуме. Однако неизвестно, исходил ли этот вирус от самой НДПГ, сторонников партии, хакерской группы, пытающейся возложить вину на партию, или группы, пытающейся дискредитировать партию.

Подобно вышеописанному инциденту, вирус Sober был снова использован в 2005 году неопознанной немецкой группой для широкомасштабной рассылки ссылок на различные политические статьи и комментарии. [ 2 ] Судя по всему, эти усилия были связаны с выборами в Германии примерно в тот же период. [ 3 ]

Ссылки

[ редактировать ]
  1. ^ "Трезвый" . Wikidot.com . Викидот . Проверено 5 сентября 2018 г.
  2. Немецкий политический спам, распространяемый вирусом , Боб Салливан, NBC News, 16 мая 2005 г.
  3. Спам со всем, что связано с выборами в Германии , автор Алан Коннор, статья opendemocracy.net, 23 мая 2005 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Sober_(computer_worm)&oldid=1238428033"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1c6a928bf3b5166985e084a75ee6d688__1722706860
URL1:https://arc.ask3.ru/arc/aa/1c/88/1c6a928bf3b5166985e084a75ee6d688.html
Заголовок, (Title) документа по адресу, URL1:
Sober (computer worm) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)