Новый Sober рвется в лидеры
Служба вирусного мониторинга компании «Доктор Веб» сообщает о серьезной эпидемии в сети Интернет, связанной с интенсивным распространением почтового червя массовой рассылки из семейства Sober, получившего в классификации компании название Win32.HLLM.Generic.345.
Другими антивирусными вендорами червь окрещен W32/Sober.p@MM, WORM_SOBER.S, Win32.Sober.N, Sober.P.
По данным системы глобальной вирусной статистики компании «Доктор Веб», всего за несколько часов после своего появления, червь умудрился отхватить более 20 % зараженного различными вирусами трафика, мгновенно потеснив многочисленных представителей семейства Netsky, прочно удерживавших лидирующих первые места в вирусном хит-параде, заняв второе место в «горячей вирусной десятке».
Новый Sober распространяется по электронной почте при помощи собственной реализации протокола SMTP в виде электронных сообщений на английском или немецком языках. Получаемые пользователем письма замаскированы под просьбы подтверждения пароля или сообщения с подтверждением регистрации. Вложение, сопровождающее подобное письмо, может быть как на английском, так и на немецком и имеет следующие названия:
LOL.zip
our_secret.zip
mail_info.zip
account_info.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
Поникнув в систему, червь демонстрирует на экране дисплея сообщение якобы об ошибке в приложении WinZip. Червь создает множество файлов в системной директории и в директории Windows, среди которых копии червя
CSRSS.EXE
SERVICES.EXE
SMSS.EXE
Свой автозапуск червь обеспечивает путем внесения данных
"_WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe
в ключи реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Единственное деструктивное действие червя - удаление или перезаписывание своей копией некоторых программных файлов в директории Symantec.
Компания «Доктор Веб» настоятельно рекомендует относится с особой осторожностью к подозрительным письмам, не открывать письма от незнакомых или едва знакомых адресатов, если они приходят с вложениями, вызывающими у вас подозрения. В случае если на вашем компьютере не установлена антивирусная программа, и вы опасаетесь, что возможно заражены этим вирусом, вы всегда можете проверить вызывающий подозрение файл-вложение с помощью бесплатного сервиса вирусной онлайн-проверки компании «Доктор Веб».
