Najnovija varijanta crva Sober pokazuje pojačanu aktivnost na mreži u proteklih nekoliko dana.

W32/Sober-G se šalje na e-mail adrese prikupljene sa inficiranog računala.

Nakon što je pokrenut crv prikazuje poruku:

Special -UnZip Data- Module is missing

Open with Notepad?

te kreira .txt datoteku u temp direktoriju i prikazuje sadržaj te datoteke pomoću notepad.exe aplikacije.

Tekst datoteke počinje sa linijama:

File not found

Special -UnZip Data- Module is missing

Open with Notepad?

Converted_

notepad

Crv se zatim kopira u windows system direktorij kao .exe datoteka sa imenom složenim slučajnim odabirom

riječi:

sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32

W32/Sober-G stvara datoteke koje koristi za spremanje prikupljenih informacija u Windows system direktoriju:

bcegfds.lll

cvqaikxt.apk

datsobex.wwr

wincheck32.dats

winexpoder.dats

winzweier.dats

xdatxzap.zxp

zhcarxxi.vvx

i kreira slijedeću stavku u system registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

logcrypt = <path_to_exe>\<exename>.exe %1

Crv se propagira u obliku e-mail privitka sa slučajno odabranim imenom i .zip ili .exe ekstenzijom.

Dodatne informacije:

http://www.sophos.com/virusinfo/analyses/w32soberg.html