7 октября 2005, 19:27

Sober возвращается: на этот раз он использует методы социальной инженерии

Червь Sober.Y распространяется в электронных сообщениях на английском и немецком языках, выдавая себя за уведомление о новом пароле или фотографию старых школьных друзей

Антивирусная лаборатория Panda Software зафиксировала появление новой версии червя Sober - Sober.Y, которая распространяется, используя методы социальной инженерии. Этот червь был перехвачен технологией Panda Software TruPreventTM, для чего не потребовалось предварительной идентификации, поэтому она была в состоянии защитить своих пользователей с самого начала атаки.

Для распространения червь использует два вида писем: первое - письмо на английском языке с темой "Your new password" (Ваш новый пароль), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления - pword_change.zip.  Второе – письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией самого червя.

Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.

 В связи с резким увеличением числа инцидентов, вызванных новым Sober.Y, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и уничтожает этого червя с любого зараженного компьютера. Ее можно скачать по адресу http://www.pandasoftware.com/download/utilities.

Оцените новость:
  • 1 оценка