«Лаборатория Касперского» сообщает об обнаружении трех различных вариантов известного сетевого червя Sober. По классификации ЛК им были присвоены индексы «u», «v» и «w». Все модификации представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых разновидностей Sober подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.




Новые варианты Sober были разосланы через электронную почту в виде вложений в письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:




Exceltab-packed_List.exe;

Liste.zip;

Reg-List-Dat_Packer2.exe;

reg_text.zip;

Word-Text.zip;

Word-Text_packedList.exe;

Word-Text_packedList.zip.




Процедура запуска новых версий вредоносной программы стандартна для семейства Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».




Затем вирус копирует себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.




Соблюдайте максимальную осторожность при работе с электронной корреспонденцией и постоянно обновляйте антивирусные базы.