Меркурий в соединении со звездой Антарес, на так называемой оси катастроф...
Email-Worm.Win32.Sober.u, .v, .w
15.11.2005 12:08, GMT +0300, МоскваСтатус : средняя опасность
«Лаборатория Касперского» предупреждает о появлении трех новых модификаций почтового червя Email-Worm.Win32.Sober: Sober.u, Sober.v и Sober.w.
Массовое распространение клонов Sober угрожает пользователям интернета
«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении трех новых модификаций известного сетевого червя "Email-Worm.Win32.Sober". По классификации «Лаборатории Касперского» им были присвоены индексы «u», «v» и «w». Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых модификаций Sober подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.
Новые варианты Sober были разосланы через электронную почту в виде вложений в электронные письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:
Exceltab-packed_List.exe;
Liste.zip;
Reg-List-Dat_Packer2.exe;
reg_text.zip;
Word-Text.zip;
Word-Text_packedList.exe;
Word-Text_packedList.zip.Процедура запуска новых версий вредоносной программы стандартна для семейства
Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».Затем новые версии "Sober" копируют себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.
«Лаборатория Касперского» предупреждает всех пользователей о появлении опасной вредоносной программы и рекомендует соблюдать максимальную осторожность при работе с электронной корреспонденцией.
Процедуры защиты от "Sober.u, v, w" уже добавлены в базу данных Антивируса Касперского®. Более подробная информация о данных вредоносных программах доступна в Вирусной Энциклопедии Касперского.
