I-Worm.Sober.i: распространение нового червя угрожает пользователям интернета

20/11/2004 12:44

"Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-червя "Sober.i". Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект действия "Sober.i" заключается в содержащемся в теле червя механизме удаленного запуска любых файлов по желанию злоумышленника. В настоящее время антивирусные эксперты "Лаборатории Касперского" получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона. "Sober.i" использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Затем он создает в системном каталоге Windows два файла с произвольными именами, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте. Затем "Sober.i" копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения "Sober.i" сканирует файловую систему пораженного компьютера в поисках
адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер. Зараженные "Sober.i" письма имеют произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может быть с различными расширениями: "pif", "zip", "bat".
Описание