350 обликов пяти червей Sober

[Geser]

По данным лаборатории PandaLabs, к настоящему моменту авторы червей Sober использовали около 350 различных форматов сжатия для того, чтобы обмануть традиционные средства антивирусной защиты

Лаборатория PandaLabs (www.viruslab.ru) зафиксировала появление двух новых червей Sober (AF и AG) в дополнение к версиям AC, AD и AE. Однако авторы этих пяти массово-рассылаемых червей не остановились на обычной рассылке - они использовали сотни различных форматов сжатия (350 по данным PandaLabs) и рассылают их вручную, как спам. Несмотря на то, что ни один из этих вредоносных кодов не вызвал значительного количества инцидентов, тот факт, что существует такое множество зараженных файлов, является уже достаточным поводом для беспокойства.


По словам Луиса Корронса, директора PandaLabs: “…новых червей Sober нельзя считать особенно опасными ввиду их каких-либо специфических особенностей. Самое худшее в этой ситуации – их массовая рассылка в таком количестве различных форматов сжатия. Несмотря на то, что черви одни и те же, традиционным антивирусам требуется отдельная вакцина для каждого формата сжатия. Это, несомненно, значительно усложняет задачу провайдерам безопасности, поскольку им требуется тратить время на сбор всех циркулирующих вариантов и создание соответствующих вакцин, а затем еще включить новые «лекарства» в файл вирусных сигнатур каждого клиента."



Цель авторов этих червей до сих пор не ясна: “Несмотря на то, что мы зафиксировали сотни сжатых файлов, содержащих одного из новых червей Sober, вирус не вызвал массовых инфекций. Это больше напоминает испытание, направленное на выяснение того, какой из червей будет меньше обнаруживаться системами безопасности. На настоящий момент циркулирует огромное количество зараженных писем, и поэтому пользователям следует быть предельно осторожными с сообщениями, полученными от неизвестных авторов”, - добавляет Луис Корронс.


Технология TruPreventTM эффективно обнаруживает новые версии Sober. Луис Корронс подтверждает, что “…предупреждающая технология не только блокирует атаки неизвестных угроз, но и позволяет сократить время - когда технология TruPreventTM обнаруживает новый вредоносный код, она немедленно отправляет его в PandaLabs на опознание”.


Новые версии червя очень похожи на своих предшественников. Когда пользователь запускает зараженный файл, Sober автоматически отправляет себя на все электронные адреса, которые он находит в хранимых на компьютере файлах. Отправляемые им сообщения имеют различные имена, самой отличительной их особенностью является изменение языка сообщения в зависимости от суффикса адреса, на которое отправляется сообщение. Если адрес получателя оканчивается на .de, .ch, .at, или .li, то отправляется сообщение на немецком языке. Если адрес заканчивается на другой суффикс, сообщение отправляется на английском.

[Geser]

Кстати, Собер зверствует. Даже мой рабочий адрес каким-то образом попал в базу

[Зайцев Олег]

Кстати, Собер зверствует. Даже мой рабочий адрес каким-то образом попал в базу

И не только он ... bagle новый (я уже насчитал пять новых разновидностей), плюс два свежих вида mytob ... - лавина по 200-500 писем в день.

[Firza]

А есть хотя бы один вирус, из семейство Sober, который бы полноценно работал на Windows 2k/XP (NTFS)? Под “полноценно работай” я имею ввиду – работает ли эти программы (вирусы) с правами Limited User.
Судя по описанию, например w32.sober@mm он работает только под Windows 9x, а под Windows 2k/XP работать не будет.
Работать все время с правами Administrator это ненормальное явление (администрирование Windows серверов исключение, но этим занимается относительно мало людей), а запускать вирусы с правами Administrator вообще маразм.
Похоже, что вирусы, из семейство Bagle тоже наработают под Windows 2k/XP.

[Зайцев Олег]

А есть хотя бы один вирус, из семейство Sober, который бы полноценно работал на Windows 2k/XP (NTFS)? Под ”полноценно работай” я имею ввиду – работает ли эти программы (вирусы) с правами Limited User.
Судя по описанию, например w32.sober@mm он работает только под Windows 9x, а под Windows 2k/XP работать не будет.
Работать все время с правами Administrator это ненормальное явление (администрирование Windows серверов исключение, но этим занимается относительно мало людей), а запускать вирусы с правами Administrator вообще маразм.
Похоже, что вирусы, из семейство Bagle тоже наработают под Windows 2k/XP.

Этот вирус отлично работоспособен на XP. С правами администратора работает около 99% все пользователей. Я ради опыта проводил "социологический опрос" - из сотни купивших ПК человек максимум 1-2 имеют представление о том, как регулировать привилегии в XP/2k. Пользователь уровня домохозяйки/школьника ... никогда не будет это делать (поскольку не знает, как). Далее практически на каждом втором ПК юзер группы "админ" будет без пароля. Третий момент - очень многие программы не могут тработать не из под админа, в частности далеко не всякая игрушка пойдет из под юзера с резко ограниченными правами. Вывод - игрушка для большинства юзеров гораздо важнее. Поэтому вирус нацелен именно на массовую аудиторию.

[Firza]

Этот вирус отлично работоспособен на XP. С правами администратора работает около 99% все пользователей. Я ради опыта проводил "социологический опрос" - из сотни купивших ПК человек максимум 1-2 имеют представление о том, как регулировать привилегии в XP/2k. Пользователь уровня домохозяйки/школьника ... никогда не будет это делать (поскольку не знает, как). Далее практически на каждом втором ПК юзер группы "админ" будет без пароля. Третий момент - очень многие программы не могут тработать не из под админа, в частности далеко не всякая игрушка пойдет из под юзера с резко ограниченными правами. Вывод - игрушка для большинства юзеров гораздо важнее. Поэтому вирус нацелен именно на массовую аудиторию.

Вот то, что с правами администратора работает около 99% все пользователей и есть главная причина массовых заражений вирусами. Самое плохое, что Windows сам навязает пользоваться правами администратора ставив его по умолчанию. Из-за этого получается что программисты - администраторы пишут программы, которые только под администратора и работают . Рациональной причины у это явление нет. Программы Microsoft отлично работают под Limited User, OpenOffice тоже и многие другие, а токую “большую” программу как Winamp, упорно продолжают делать только для администратора – логики не какой.
Но все равно пользователям Windows не удастся избежать участи UNIX систем где Root это только для администрирование, а для работы – USER. Что-то такое Microsoft уже готовит в Windows Vista.