“Лаборатория Касперского”, российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя Sober.i.
Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма, сообщает CNews.ru. Помимо фу
кций, стандартных для данного типа вредоносных программ, деструктивный эффект воздействия Sober.i заключается в содержащемся в теле червя механизме удаленной загрузки любых файлов, запускаемых по желанию злоумышленника. По словам антивирусных экспертов “Лаборатории Касперского”, они получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.
Sober.i использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: WinZip Self-Extractor. WinZip_Data_Module is missing ~Error. Затем он создает в системном каталоге Windows два файла с произвольным именем, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте. Затем Sober.i копирует себя в системный каталог Windows и регистрируется в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения Sober.i сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает свои копии по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.
Зараженные червем Sober.i письма содержат произвольные тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из нескольких частей. Имя вложения может иметь различные расширения, включая .pif, .zip и .bat. Эксперты “Лаборатории Касперского” советуют обновить антивирусное ПО. Процедуры защиты от нового червя уже добавлены в базу данных “Антивируса Касперского”.