Интернет атакует новый червь

О новой вирусной угрозе сообщает «Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама. Вирусные аналитики обнаружили новую версию почтового червя Email-Worm.Win32.Sober — Email-Worm.Win32.Sober.p.

Первое появление вредоносной программы в сети Интернет зафиксировано экспертами «Лаборатории Касперского» 2 мая. На данный момент, согласно сообщениям провайдеров, этот червь наиболее часто встречается в почтовом трафике. Следует также отметить, что Sober. p уже побил все возможные рекорды своих «предшественников» — других почтовых червей — по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте сети Интернет (Голландия, Германия, Венгрия и другие страны). К счастью, от азиатских и российских пользователей поступает минимум жалоб на заражение данной версией червя Sober. Тем не менее, кто предупрежден — тот вооружен…

Sober.p распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой самораспаковывающийся архив размером около 53 КБ, вложенный в письмо с произвольно выбранным заголовком и текстом письма (зачастую на немецком языке). Наименование зараженного вложения при этом также выбирается произвольно из определенного списка и получает расширение.zip.

Червь активирует себя при запуске зараженного вложения пользователем. После запуска на экране появляется сообщение архиватора об ошибке в CRC («CRC not complete»). Работающий червь копирует себя в системный каталог под именами сервисных системных программ и создает собственные копии в нескольких папках, а также регистрирует себя в ключе системного реестра.

Затем червь осуществляет поиск адресов для проведения рассылки. Поиск производится как в адресных книгах, так и в файлах, содержащих различные виды данных — текстовые файлы, презентации Microsoft Power Point, базы данных и т. д. А после червь рассылает себя по всем найденным на зараженном компьютере адресам.