Sophos nas je obavijestio o pojačanoj aktivnosti crva W32/Sober-Z.

Instalacije svih korisnika koji koriste EMLibrary, PureMessage i/ili neki od paketa Sophos Small Business dograđene su automatski 22. studenoga 2005. kada je objavljena prva inačica ove dogradnje ili nakon toga, ovisno o tome kako ste podesili učestalost dograđivanja.
Do trenutka pisanja ovog teksta Qubis d.o.o. nije zaprimio obavijesti o incidentima na području Hrvatske.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus nadopune dogradnjom za prepoznavanje ovog crva koju možete naći na stranici http://www.sophos.com/downloads/ide/sober-z.ide.

Prema Sophos ovim podacima, crv W32/Sober-Z nalazi se u jednoj od 17 poruka koje trenutno putuju Internetom, a u posljednja 24 sata predstavlja oko 80% svih prijava zaprimljenih u Sophosu.

W32/Sober-Z širi se kao izvršna datoteka u privitku poruke, a može se skrivati u nekoliko različitih poruka uključujući i slijedeću:

Dear Sir/Madam, We have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison Federal Bureau of Investigation-FBI- 935 Pennsylvania Avenue, NW , Room 3220 Washington , DC 20535 Phone: (202) 324-30000

Druge varijante poruke naizgled dolaze od istražitelja zaposlenih u CIA ili BKA (Bundeskriminalamt) u kojem slučaju je poruka na njemačkom jeziku, no sve su varijante lažne.

Jednom aktiviran, W32/Sober-Z pregledat će cijeli tvrdi disk računala i prikupiti sve elektroničke adrese kako bi proslijedio što više vlastitih kopija i inficirao što veći broj računala. Na inficiranom računalu crv će također kreirati direktorij %WinDir%\WinSecurity i sljedeće datoteke:

Stvorit će i novu stavku u registru:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows
%WinDir%\WinSecurity\services.exe

Više informacija: