Лаборатория Касперского сообщила об обнаружении новой модификации почтового червя "Sober" - "Sober.c". На данный момент уже зарегистрированы случаи заражения компьютеров этой вредоносной программой.
Семейство "Sober" принадлежит к классу почтовых червей - вредоносных программ, распространяющихся через электронную почту. Настоящая модификация является третьей по счету с момента обнаружения оригинальной версии 27 октября 2003 г. По всей видимости, как и предшественники, "Sober.c" был создан в Германии.
"Sober.c" отличается от оригинала расширенным функционалом и более хитрыми способами маскировки. Как и остальные представители семейства он пытается проникнуть на компьютер через зараженные электронные письма. Сами письма могут иметь различный внешний вид (на английском и немецком языках) и имена вложенных файлов. Например:
Тема: why me?
Текст:
You say in the www. that i'm a terrorist!!!
No way out for you. I REPORT YOU !
You've said THAT about me
Имя вложенного файла:
terror-list.com
Необходимо отметить, что вложенные зараженные файлы могут также иметь расширения "bat", "cmd", "pif" и "scr". Если пользователь имел неосторожность запустить вложенный файл, то червь выводит на экран ложное сообщение об ошибке и начинает процедуру внедрения в компьютер.
"Sober.c" создает в системном каталоге Windows три свои копии со случайными именами и регистрирует их в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждой новой загрузке операционной системы. После этого "Sober.c" немедленно начинает процедуру дальнейшего распространения. Прежде всего, он сканирует содержимое диска зараженного компьютера и выбирает из файлов с определенными расширениями (например, HTML, WAB, EML и т.д.) электронные адреса жертв. Затем, незаметно для пользователя рассылает по ним свои копии, используя встроенную подпрограмму работы по SMTP-протоколу.
