"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении новой версии почтового червя Email-Worm.Win32.Sober - Email-Worm.Win32.Sober.p.
Первое появление вредоносной программы в интернете зафиксировано экспертами "Лаборатории Касперского" 2 мая. На данный момент, согласно сообщениям провайдеров интернет-услуг, этот червь является наиболее
часто встречающейся вредоносной программой в почтовом трафике.
Следует также отметить, что Sober.p уже побил все возможные рекорды своих "предшественников" - других почтовых червей - по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте интернета (Голландия, Германия, Венгрия и другие страны), тогда как от азиатских и российских пользователей поступает минимум жалоб на заражение данной версией червя Sober.
Sober.p распространяется через электронную почту в виде вложений в электронные письма. Червь представляет собой самораспаковывающийся архив размером около 53 КБ, вложенный в письмо с произвольно выбранными
заголовком и текстом (зачастую на немецком языке). Наименование зараженного вложения при этом также выбирается произвольно из определенного списка и получает расширение .zip.
Червь активирует себя при запуске зараженного вложения пользователем. После запуска на экране появляется сообщение архиватора об ошибке в CRC ('CRC not complete'). Работающий червь копирует себя в системный каталог под именами сервисных системных программ и создает собственные копии в нескольких папках, а также
регистрирует себя в ключе системного реестра.
После копирования червь осуществляет поиск адресов для проведения рассылки. Поиск производится как в адресных книгах, так и в файлах, содержащих различные виды данных - текстовые файлы, презентации
Microsoft Power Point, базы данных и т.д. Когда поиск завершен, червь рассылает себя по всем найденным на зараженном компьютере адресам.