2005-11-30
Firma MicroWorld producent produktów eScan i MailScan opublikowała kolejny raport wirusowy, przedstawiający najgożniejsze infekcje z ostatnich dni
| Nazwa : |
PWS-Banker.AS |
| Typ : |
Trojan |
| Sposób rozprzestrzeniania : |
poprzez wiadomości E-mail
|
| Rozpowszechnienie : |
Średni |
| Systemy operacyjne : |
Windows |
| Inne nazwy : |
-- |
| Data pojawienia: |
29 Listopad 2005 |
Tego typu trojan zazwyczaj dostaje się do komputera w postaci niechcianej wiadomości "Spam" i oszukuje użytkownika poprzez wykonanie pliku znajdującego się w załaczniku. Gdy juz zostanie zainstalowany w systemie, będzie widoczny plik pomocy.
Przykładowa wiadomość zawierająca trojana znajduje się poniżej:
"
Hello,
Please look and confirm receptionI have transferred $2895 to your e-gold account through the http://www.goldex.net.
The scanned screen is attached to the letter. Please, confirm reception of my payment by mail or fax which I have specified in the previous letter.
Sincerely,John Dunning
Please don`t you show them pictures to anyone! Especially your parents! Otherwise they kill you - they are damn horny!!Your Mary, kissing you! :)))
When you come home, phone me asap! p.s. photos attached
"
Głównym komponentem tego trojana jest plik DLL, który jest po cichu instalowany nakomputerze ofiary. Różne warianty używają różnych nazwa i wpisów do rejestru.
Plik DLL jest umieszczany w folderze systemowym:
%WinDir%\SYSTEM32\MSJKE.DLL
Gdy zostanie uruchomiony, użytkownik zainfekowanego komputera ujrzy obrazek (JPG lub BMP w zależności od wersji) oraz niechcianą wiadomość "spam" text.:
|
| Jeśli chcesz dowiedzieć się więcejna temat PWS-Banker.AS - naciśnij tutaj |
|
|
| Nazwa : |
W32/Sober-Y |
| Typ : |
Robak internetowy |
| Sposób rozprzestrzeniania : |
Email |
| Rozpowrzechnienie: |
Wysokie
|
| Systemy operacyjne : |
Windows |
| Inne nazwy : |
-- |
| Data wykrycia : |
21 Listopad2005 |
Nowe nieznane zagrożenie: Wiadomości E-mail pochodzące od FBI.
Tego typu wiadomość nie pochodzi od FBI. Odbiorcy tego typu wiadomości powinni wziąć pod uwagę , że FBI nie bierze udziału w wysyłanie niechcianych wiadomości e-mail.
Wiadomości e-mail najczęściej są wysyłane z adresów mail@fbi.gov lub admin@fbi.gov. Mogą się mniej lub bardziej różnić od powyższych. Odbiorca jest nęcony aby otworzyć załącznik w postaci pliku zip ,który zawiera robaka internetowego w32/sober.jen@mm. Załacznik się nie otwiera gdyż jest to celowe działanie w celu zebrania informacji na temat komputera odbiorcy. Następnie robak wysyła swoją kopię do wszystkich odbiorców znajdujących się w książce adresowej.
Tekst wiadomości jest następujący:
Dear Sir/Madam,
We have logged your IP-address on more than 30 illegal Websites.
Important: Please answer our questions! The list of questions are attached.
Yours faithfully,
Steven Allison
Federal Bureau of Investigation-FBI-
935 Pennsylvania Avenue, NW , Room 3220
Washington , DC 20535
Phone: (202) 324-30000
FBI potraktowało tą sprawę poważnie i wszczeło postępowanie w tej sprawie. Dopóki adresy oraz numery telefonów FBI są poprawne - to wszyscy użytkownicy otrzymujący takiego maila są zobligowani do zgłoszenia tego faktu do Internet Crime Complaint Center dostępnego na stronie http://www.ic3.gov. |
| Jeśłi chcesz się dowiedziec więcej na temat W32/Sober-Y naciśnij tutaj |
|
| Nazwa : |
W32/Sober-Z |
| Typ : |
Robak Internetowy |
| Sposób rozprzestrzeniania : |
Załacznik do wiadomości Email |
| Rozpowrzechnienie : |
Średnie |
| Systemey operacyjne : |
Windows |
| Inne nazwy : |
W32.Sober.X@mm |
| Data wykrycia : |
22 Listopada 2005 |
W32/Sober-Z jest kolejną wersją robaka z serii: Email-Worm.Win32.Sober.s, Email-Worm.Win32.Sober.u, Email-Worm.Win32.Sober.v, and Email-Worm.Win32.Sober.w, as timely detected and prevented by MicroWorld`s efficient virus research.
W32/Sober-Z wysyła wiadomości email języku niemieckim do wszystkich odbiorców znalezionych w plikach na dysku twardym.
Podczas pierwszego uruchomienia,pojawia się okno komunikatu z tytułem "WinZip Self-Extractor" a następnie komunikatem błędu "Error in packed Header".
Wiadomości email wysłane przez W32/Sober-Z zawierają kopię robaka w postaci pliku ZIP z plikiem th the filename reg_pass.zip. Pliki zawierające robaka mogą mieć nazwę "File-packed_dataInfo.exe"
Robak próbuje wysłac swoja kopie do wszystkich adresatów znalezionych na zainfekowanym komputerze. Wiadomość email może być w języku angielskim lub niemieckim , i może mieć następująca postać:
Język niemiecki:
OD: [SPOOFED]
Temat:
One of the following:
Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
wiadomość:
One of the following:
Bei uns wurde ein neues Benutzerkonto mit dem Namen
beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team
Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
|
Jeśli chcesz dowiedzieć sie więcej na temat W32/Sober-Z - to naciśnij tutaj
|
|
| Nazwa : |
W32/Sober-U |
| Typ : |
Robak Internetowy
|
| Sposób rozprzestrzeniania :: |
Załacznik do wiadomości e-mail |
| Rozpowrzechnienie : |
Średnie |
| System operacyjny : |
Windows |
| Inne nazwy : |
Win32.Sober.v,Win32.Sober.w,Win32.Sober.s |
| Data wykrycia : |
15 Listopad 2005 |
Nowy wariant Sober:Email-Worm.Win32.Sober.s, Email-Worm.Win32.Sober.u, Email-Worm.Win32.Sober.v, i Email-Worm.Win32.Sober.w
Robak rozprzestrzenia się jako załacznik w zainfekowanej wiadomości. Plik w załączniku, zawiera robaka ,którego wielkość wynosi ok. 130KB.
Nazwy załączników:
Word-Text_packedList.exe
Word-Text_packedList.zip
Word-Text.zip
Reg-List-Dat_Packer2.exe
Exceltab-packed_List.exe
reg_text.zip
Liste.zip |
| Jeśli chcesz dowiedziec się więcej na temat W32/Sober-U - naciśnij tutaj |
|
|
--
