آی تی ایران – آنتی ویروس پاندا در گزارش هفتگی خود پنج نسخه از کرم اینترنتی Sober – AC، AD، AE، AF و AG – را مورد بررسی قرار داده است.
یکی از مشخصات اصلی گونه های جدید کرم Sober این است که برای شناخته نشدن توسط آنتی ویروس های معمول به صورت فایل های فشرده و در فرم های مختلف منتشر می شوند. این مسئله کار آنتی ویروس هایی را که برای هر شکلی از فایل واکسن مشخصی را می سازند، دشوار می کند.
نسخه هی AC، AD، AE، AF و AG کرم Sober بسیار به هم شبیه اند و مشخصات اصلی آنها به شرح زیر است:
– از طریق ایمیل یا پیغام هایی با شکل های مختلف که حاوی یک فایل فشرده هستند، منتشر می شوند.
– اگر آدرس ایمیل مقصد به یکی از پسوندهای de (آلمان)، ch (سوئیس)، at (اتریش) یا li (لیختن اشتاین) ختم شود، پیغام به زبان آلمانی ارسال می شود. در غیر این صورت متن پیام به زبان انگلیسی خواهد بود.
– فایلی که به این ایمیل ضمیمه شده، در واقع یک کپی از خود کرم است. به همین دلیل پس از اجرای فایل، کرم مربوطه – یکی از نسخه های پنج گانه Sober – روی سیستم نصب می شود و فعالیت های مخرب خود را آغاز می کند. از جمله این فالیت ها می توان به موارد زیر اشاره کرد:
ایجاد فایل SERVICES.EXE – یکی کپی از کرم – در زیر شاخه
CONNECTIONSTATUSMICROSOFT در دایرکتوری ویندوز.
ایجاد چندین مدخل در رجیستری ویندوز برای اطمینان از اجرای کرم اینترنتی در هنگام روشن شدن کامپیوتر.
