В интернете новое нашествие клонов червя Sober

"" сообщает об обнаружении трех новых модификаций известного сетевого червя "Email-.Win32.". По классификации "Лаборатории Касперского" им были присвоены индексы "u", "v" и "w". Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы. Многочисленные случаи обнаружения в почтовом трафике новых модификаций подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде вложений в электронные письма. Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла. Они могут быть следующими:

  • Exceltab-packed_List.exe
  • Liste.zip
  • Reg-List-Dat_Packer2.exe
  • reg_text.zip
  • Word-Text.zip
  • Word-Text_packedList.exe
  • Word-Text_packedList.zip

Процедура запуска новых версий вредоносной программы стандартна для семейства Sober. Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error".

Затем новые версии "Sober" копируют себя в системный каталог и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге . Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.

"Лаборатория Касперского" предупреждает всех пользователей о появлении опасной вредоносной программы и рекомендует соблюдать максимальную осторожность при работе с электронной корреспонденцией.

Источник: kaspersky.ru