Подробности о новом Sober.i
Вредоносный интернет-червь "Sober.i" распространяется через Интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект воздействия "Sober.i" заключается в содержащемся в теле червя механизме удаленной загрузки любых файлов, запускаемых по желанию злоумышленника. В настоящее время антивирусные эксперты «Лаборатории Касперского» получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона. "Sober.i" использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: <WinZip Self-Extractor. WinZip\_Data\_Module is missing ~Error>. Затем он создает в системном каталоге Windows два файла с произвольным именем, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте. Затем "Sober.i" копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения "Sober.i" сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер. Зараженные "Sober.i" письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может варьироваться с различными расширениями: "pif","zip", "bat". Процедуры защиты от "Sober.i" уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.
Источник: Информационная служба "Лаборатории Касперского"
|