В сети появился новый червь — Sober.p.

25 Окт 2012

В сети появился новый червь - Sober.p.

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой версии почтового червя Email-Worm.Win32.Sober – Email-Worm.Win32.Sober.p.
Как сообщили в информационном отделе «Лаборатории Касперского», первое появление вредоносной программы в сети Интернет зафиксировано экспертами «Лаборатории Касперского» 2 мая.

На данный момент, согласно сообщениям провайдеров услуг Интернет, этот червь является наиболее часто встречающейся вредоносной программой в почтовом трафике. Следует также отметить, что Sober.p уже побил все возможные рекорды своих «предшественников» — других почтовых червей – по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте сети Интернет (Голландия, Германия, Венгрия и другие страны), тогда как от азиатских и российских пользователей поступает минимум жалоб на заражение данной версией червя Sober.

Sober.p распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой самораспаковывающийся архив размером около 53 КБ, вложенный в письмо с произвольно выбранными заголовком и текстом письма (зачастую на немецком языке).

Наименование зараженного вложения при этом также выбирается произвольно из определенного списка и получает расширение .zip.
Червь активирует себя при запуске зараженного вложения пользователем.

После запуска на экране появляется сообщение архиватора об ошибке в CRC (“CRC not complete”). Работающий червь копирует себя в системный каталог под именами сервисных системных программ и создает собственные копии в нескольких папках, а также регистрирует себя в ключе системного реестра.

После копирования червь осуществляет поиск адресов для проведения рассылки. Поиск производится как в адресных книгах, так и в файлах, содержащих различные виды данных – текстовые файлы, презентации Microsoft Power Point, базы данных и т.д. Когда поиск завершен, червь рассылает себя по всем найденным на зараженном компьютере адресам.