Osztálytalálkozóra hív a féreg

Az első beszámolók szerint az osztálytalálkozó állítólagos képét kínáló Sober robbanásszerűen terjed. A német nyelvű domainek alatt élő felhasználók közül sokan nem állják meg, hogy ne kattintsanak a kártevő által csatolt állományra.

A kevésbé sikeres angol változat levelének szövege azt állítja, hogy az üzenet új felhasználói jelszót hordoz, amelyet a csatolt pword_change.zip nevű fájlba csomagoltak.

Lásd a mellékelt képet

Az aktuális Sober változat kódja szokás szerint a levél csatolt állományában rejtőzik. A német változatnál a fájl neve KlassenFoto.zip. A német nyelvű szöveg azt állítja, hogy a csatolt állomány olyan fénykép, amely egy nemrégiben tartott osztálytalálkozón készült, írta a Golem.de híroldal.

A ZIP fájlban természetesen semmilyen kép nincsen, ehelyett az álcázott "PW_Klass.Pic.packed-bitmap.exe" nevű fájlból annak lefuttatásakor kiszabadul a féregvírus. A Sober befészkeli magát a rendszerbe, és felugrik egy hamis hibajelzés.

Bocs a zavarásért

A vírus készítője, hogy rávegye a felhasználót a kattintásra, ügyesen összeállított levelet kreált. A tárgysor "Fwd: Klassentreffen", a szöveg pedig a következő:

"ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)
liebe grüße:"

Magyar fordítása:
"remélem végre megtaláltam a megfelelő személyt! mindenesetre csatoltam az akkori osztályképünket. ha felismered magad rajta, feltétlenül válaszolj.
ha viszont ismét téves címre írtam, elnézést a zavarásért. szívélyes üdvözlettel:"

Hamis feladó

A szöveg véletlenszerűen kiválasztott keresztnévvel zárul, hogy a levél emberi kéz munkájának tűnjön. A fertőzést követően a féreg úgy jegyzi be magát a rendszerleíró adatbázisba, hogy a Windows minden újraindításakor automatikusan betöltődjön.

A Sober a további terjedését azzal biztosítja, hogy elküldi magát a merevlemezen talált fájlokból kigyűjtött emailcímekre. Eközben természetesen meghamisítja a feladót is, vagyis közvetlenül nem állapítható meg, hogy valójában kinek a gépe fertőződött meg.

Még egy változat

A vírusirtó cégek azonnal reagáltak, és frissítették a vírusleíró adatbázisaikat. Az új, egységes névadási rendszerben a Sober féreg aktuális változata a CME-151 név alatt ismert.

Csütörtök folyamán a Sober további változata is felbukkant, ezúttal a PrivatFoto.zip nevű csatolt állománnyal. A német nyelvű szöveg azt állítja, hogy a csatolt fájl egy tévedésből elküldött fotó.

A kíváncsi felhasználó összevissza kattintva a "Screen_Photo.jpeg-graphic1.exe" nevű fájlt futtatja le, és megfertőzi a rendszerét a Sober.R illetve Q nevű féregvírussal.