Varning för nytt Sober virus
Under den 6 Okt började F-Secure få varningar om att en ny version av viruset Sober sprids. Viruset är skrivet i Visual Basic och masken är i sig 113 kb lång i packeterat format.
När masken installeras på datorn visas ett bogus meddelande.
Efter detta meddelande kopierar masken sig till en katalog med namnet ConnectionStatus som filen services.exe och lägger in följande värden i Windows Registret:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" WinINet" = "%WinDir%\ConnectionStatus\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinINet" = "%WinDir%\ConnectionStatus\services.exe"
För utom detta skapar masken nya filer in Windows System katalog, men på grund av en bugg/miss i maskens programmering kan filnamnen vara ren skräptext.
Inlägg
