Антивирусные компании дружно сообщили об обнаружении нового опасного Интернет-червя, получившего название Sober.i. Он распространяется через Сеть в виде вложений в зараженные электронные письма.
В “Лаборатории Касперского”, получающей большое число сигналов об обнаружении червя от пользователей западноевропейского региона, отмечают, что помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект воздействия Sober.i заключается в содержащемся в теле червя механизме дистанционной загрузки любых файлов, запускаемых по желанию злоумышленника.
По данным “Лаборатории”, Sober.i использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: “WinZip Self-Extractor.
WinZip_Data_Moduleis missing ~Error”. Затем он создает в системном каталоге Windows два файла с произвольным именем, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.
Sober.i также копирует себя в системный каталог Windows и регистрируется в ключе автозапуска системного реестра. Помимо этого он создает в системном каталоге Windows несколько дополнительных копий и вспомогательных файлов с разными именами.
В целях размножения cей вредоносный код сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.
Зараженные Sober.i письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из ряда частей. Имя вложения также может варьироваться с различными расширениями: pif, zip или bat.
По мнению специалистов компании Panda Software, Sober.i начал свое распространение из немецкоговорящих стран. Они также отмечают, что если домен украденного электронного адреса принадлежит Швейцарии (.ch), Германии (.de), Австрии (.at) или Лихтенштейну (.li), то червь пишет по этому адресу письмо на немецком языке. Если же домен принадлежит другим странам, отравленное сообщение отсылается на английском языке.
В. М.