[VIRUS] W32.Sober.D@mm

Diğer İsimleri: Win32.Sober.D [Computer Associates], W32/Sober.d@MM [McAfee], WORM_SOBER.D [Trend]
Tip: Worm (Solucan)
Etkilenen Sistemler: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Etkilenmeyen Sistemler:DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

Visual Basic kullanılarak yazılmış olan W32/Sober.d@MM’nin karakteristik özellikleri aşağıda belirtilmiştir:
• Kendisine ait SMTP motoru
• Kaynak ve hedef eposta adresleri kurbanın bilgisayarından toplanmaktadır
• Mesaj Microsoft tarafindan gönderilmiş bir yama içerdigini iddia etmektedir (İngilizce ve Almanca)
• Eposta yayılması
Gönderilen epostalar İngilizce ve Almanca içerikli olabilir. Alıcının eposta adresinin bitiş uzantısı mesajın içeriğinin dilini tanımlamak için kullanılmaktadır. Alıcının adresi aşağıdaki uzantıları içeriyorsa eposta Almanca ulaşacaktır:
• .de
• .ch
• .at
• .li
• @gmx
Eposta Microsoft’un W32/Mydoom@MM virüsü için çıkardığı yamayı içerdigini iddia etmektedir. Aşagıda bazı örnekler belirtilmektedir:

Gönderen (From): (Gönderen)@microsoft.(ulke )
Gönderen aşağıdaki listelerden alınır:
• Info
• Center
• UpDate
• News
• Help
• Studio
• Alert
• Security

Ülke aşağıdaki listeden seçilir:
• de (for messages in German)
• at (for messages in German)
• com (for messages in English)
Konu (Subject): Değişkendir, Alman ve İngiliz alıcılar için cümle aşağıdaki gibi başlamaktadır.
• Microsoft Alarm: Bitte Lessen!
• Microsoft Alert: Please Read!
İçerik:
(Almanca)
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch
+++
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

(İngilizce)
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com

Ek Dosya (Attachment): .EXE veya .ZIP uzantılı olabilir. İsimler aşağıdaki listeden seçilir.
• sys-patch
• MS-UD
• MS-Security
• Patch
• Update
• MS-Q

Kaynak: www.nai.com, www.antivirus.com, www.symantec.com, www.microsoft.com/technet/security