«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя «Sober.i» (sober, англ. – трезвый). Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект воздействия «Sober.i» заключается в содержащемся в теле червя механизме удаленной загрузки любых файлов, запускаемых по желанию злоумышленника. В настоящее время антивирусные эксперты «Лаборатории Касперского» получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.

«Sober.i» использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error». Затем он создает в системном каталоге Windows два файла с произвольным именем, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.

Затем «Sober.i» копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения «Sober.i» сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.

Зараженные «Sober.i» письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может варьироваться с различными расширениями: «pif»,»zip», «bat».

19.11 16:19 | MIGnews.com

MIGnews.com

*