Email-Worm.Win32.Sober.u,v,w

[ALEX(XX)]

15 ноя 2005

*****
"Лаборатория Касперского" предупреждает о появлении трех
новых модификаций почтового червя Email-Worm.Win32.Sober: Sober.u,
Sober.v и Sober.w.

Червь распространяется в виде зараженных писем с прикрепленным файлом
размером около 130 KB, который содержит тело червя.

Имена файлов могут следующими:


Exceltab-packed_List.exe
Liste.zip
Reg-List-Dat_Packer2.exe
reg_text.zip
Word-Text.zip
Word-Text_packedList.exe
Word-Text_packedList.zip

Детектирование указанных модификаций червя уже добавлено в антивирусные
базы и выпущено в составе последних обновлений для Антивируса
Касперского.

[ALEX(XX)]

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама, сообщает об обнаружении трех
новых модификаций известного сетевого червя "Email-Worm.Win32.Sober". По
классификации "Лаборатории Касперского" им были присвоены индексы "u",
"v" и "w". Все новые варианты червя представляют собой различные
варианты паковки одной и той же вредоносной программы. Многочисленные
случаи обнаружения в почтовом трафике новых модификаций Sober
подтверждают информацию о том, что данная эпидемия вызвана цепью
спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде
вложений в электронные письма. Размер приложенного файла, который и
содержит тело червя, составляет около 130 Кб. Несмотря на то, что
заголовок и текст зараженного письма произвольны либо отсутствуют,
распознать опасное сообщение позволяет ограниченность набора названий
приложенного файла. Они могут быть следующими:
Exceltab-packed_List.exe;
Liste.zip;
Reg-List-Dat_Packer2.exe;
reg_text.zip;
Word-Text.zip;
Word-Text_packedList.exe;
Word-Text_packedList.zip.

Процедура запуска новых версий вредоносной программы стандартна для
семейства Sober. Активизация червя производится при самостоятельном
открытии пользователем файла, приложенного к зараженному письму. После
запуска червь выводит на экран ложное сообщение об ошибке: "WinZip
Self-Extractor. WinZip_Data_Module is missing ~Error".

Затем новые версии "Sober" копируют себя в системный каталог Windows
и регистрируют себя в ключе автозапуска системного реестра. Помимо
этого, они создают несколько дополнительных копий и вспомогательных
файлов с разными именами в системном каталоге Windows. Для своего
размножения черви сканируют файловую систему пораженного компьютера в
поисках адресов электронной почты и рассылают себя по обнаруженному
списку адресатов.

"Лаборатория Касперского" предупреждает всех пользователей о
появлении опасной вредоносной программы и рекомендует соблюдать
максимальную осторожность при работе с электронной корреспонденцией