Рубрика: В СНГ Новости

Массовое распространение клонов Sober угрожает пользователям интернета

17 Май 2013

Массовое распространение клонов Sober угрожает пользователям интернета

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении трех новых модификаций известного сетевого червя «Email-Worm.Win32.Sober». По классификации «Лаборатории Касперского» им были присвоены индексы , и . Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы, сообщает пресс-служба компании.

Многочисленные случаи обнаружения в почтовом трафике новых модификаций Bagle подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.
Новые варианты Bagle были разосланы через электронную почту в виде вложений в электронные письма.

Размер приложенного файла, который и содержит тело червя, составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма произвольны либо отсутствуют, распознать опасное сообщение позволяет ограниченность набора названий приложенного файла.

Они могут быть следующими:
- Exceltab-packed_List.exe
- Liste.zip
- Reg-List-Dat_Packer2.exe
- reg_text.zip
- Word-Text.zip
- Word-Text_packedList.exe
- Word-Text_packedList.zip
Процедура запуска новых версий вредоносной программы стандартна для семейства Sober.

Активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».

Затем новые версии «Sober» копируют себя в системный каталог Windows и регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они создают несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows.

Для своего размножения черви сканируют файловую систему пораженного компьютера в поисках адресов электронной почты и рассылают себя по обнаруженному списку адресатов.
«Лаборатория Касперского» предупреждает всех пользователей о появлении опасной вредоносной программы и рекомендует соблюдать максимальную осторожность при работе с электронной корреспонденцией.

Процедуры защиты от «Sober.u, v, w» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данных вредоносных программах доступна в Вирусной Энциклопедии Касперского.