Рецидив почтового червя "Sober"

" Лаборатория Касперского " сообщает об обнаружении новой модификации почтового червя "Sober" - "Sober.c" Семейство "Sober" принадлежит к классу почтовых червей. Настоящая модификация является третьей по счету с момента обнаружения оригинальной версии 27 октября 2003 г.

"Sober.c" отличается от оригинала расширенным функционалом и более хитрыми способами маскировки. Как и остальные представители семейства он пытается проникнуть на компьютер через зараженные электронные письма. Сами письма могут иметь различный внешний вид (на английском и немецком языках) и имена вложенных файлов. Например:

Тема:
why me?

Текст:
You say in the www. that i`m a terrorist!!!
No way out for you. I REPORT YOU !
You`ve said THAT about me

Имя вложенного файла:
terror-list.com

Необходимо отметить, что вложенные зараженные файлы могут также иметь расширения "bat", "cmd", "pif" и "scr". Если пользователь имел неосторожность запустить вложенный файл, то червь выводит на экран ложное сообщение о системной ошибке и начинает процедуру внедрения в компьютер. "Sober.c" создает в системном каталоге Windows три свои копии со случайными именами и регистрирует их в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждой новой загрузке операционной системы.

После этого "Sober.c" немедленно начинает процедуру дальнейшего распространения. Прежде всего, он сканирует содержимое диска зараженного компьютера и выбирает из файлов с определенными расширениями (например, HTML, WAB, EML и т.д.) электронные адреса жертв. Затем, незаметно для пользователя рассылает по ним свои копии, используя встроенную подпрограмму работы по SMTP-протоколу.
Источник
3DNews

Комментарии