Новую эпидемию почтового червя Sober пользователи антивируса Dr.Web® просто не заметили

23 декабря 2003

[23.12.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о росте присутствия в сети Интернет новой модификации почтового червя массовой рассылки семейства Sober, детектируемого антивирусными программами семейства Dr.Web® как Win32.HLLM.Generic.265.

    Только компьютеры пользователей антивируса Dr.Web® были надежно защищены от атак этого червя с момента его появления в «дикой природе» - при попытках его проникновения в систему вредоносная программа детектировалась как BACKDOOR.Trojan.
Новая модификация в семействе Sober, как, впрочем, и его совсем недавний предшественник Sober.В, применяет ту же технику двойного обеспечения своего существования в пораженной системе - в случае удаления одной вредоносной копии ее место моментально занимает другая и вирус продолжает жить в компьютере.

Почтовые сообщения, внутри которых вирус попадает на компьютеры, составлены на английском и немецком языках. Вложения чаще всего снабжены двойным расширением, первое из которых .DOC или .TXT, а второе - .BAT, .COM, .CMD, .EXE, .PIF или .SCR. И все же, несмотря на предпринятые автором вируса ухищрения, его запуск на компьютере производят сами пользователи, после чего на экране дисплея появляется ложный диалог об ошибке, якобы от имени Microsoft. В окне этого сообщения отображается название файла, под которым вирус поселился в компьютере, а так как в разных системах названия его копий генерируются случайным образом, то и сообщение, выдаваемое червем, при каждом инфицировании будет различным.

Распространяется червь по электронной почте по адресам, хранящимся в инфицированном компьютере. Их список червь хранит в создаваемом им файле SAVESYSS.DLL. Кроме того, червь создает свои копии, помещая их в системную директорию Windows в виде файлов с произвольным именем. Размер исполняемого модуля червя переменный и составляет не менее 74 300 байт, часто его копии путешествуют с приписанным разного рода мусором в конце файла и, таким образом, размер червя может варьироваться.

Сам по себе червь не содержит каких-либо деструктивных функций, однако его распространение в российской части интернета становится все заметнее - по состоянию на 10 часов 23 декабря червь занимал 7-е место в общей вирусной статистике, поступающей в Службу мониторинга вирусной активности ЗАО "ДиалогНаука".

208
;