You are on page 1of 2

I-Worm.Sober.

i: распространение нового червя угрожает пользователям интернета

"Лаборатория Касперского" сообщает об обнаружении нового опасного интернет-


червя "Sober.i". Вредоносная программа распространяется через интернет в виде вложений
в зараженные электронные письма. Помимо функций, стандартных для данного типа
вредоносных программ, деструктивный эффект воздействия "Sober.i" заключается в
содержащемся в теле червя механизме удаленной загрузки любых файлов, запускаемых по
желанию злоумышленника.

"Sober.i" использует обычную для сетевых червей процедуру запуска: активизация


червя производится при самостоятельном открытии пользователем файла, приложенного к
зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке:
"WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Затем он создает в
системном каталоге Windows два файла с произвольным именем, формируемым из
встроенного в тело червя списка. Данные файлы являются основными компонентами
червя, производящими сбор адресов и рассылку копий по электронной почте.

Затем "Sober.i" копирует себя в системный каталог Windows и регистрирует себя в


ключе автозапуска системного реестра. Помимо этого, он создает несколько
дополнительных копий и вспомогательных файлов с разными именами в системном
каталоге Windows. Для своего размножения "Sober.i" сканирует файловую систему
пораженного компьютера в поисках адресов электронной почты и рассылает себя по
обнаруженному списку адресатов. Для отправки почты червь использует собственный
SMTP-сервер.

Зараженные "Sober.i" письма содержат произвольные темы и тексты на немецком


или английском языке (несколько десятков различных вариантов), которые случайным
образом составляются из нескольких частей. Имя вложения также может варьироваться с
различными расширениями: "pif","zip", "bat".

Процедуры защиты от "Sober.i" уже добавлены в базу данных Антивируса


КасперскогоR. Более подробная информация о данной вредоносной программе доступна в
Вирусной Энциклопедии Касперского.
I-Worm.Sober.i: uue võrguussi levik ähvardab internetikasutajaid

Kaspersky Lab teatab uue ohtliku võrguussi, ”Sober.i”, avastamisest. Kahjurprogramm


levib interneti teel nakatunud e-kirja manusena. Peale teiste sellele kahjurprogrammitüübile
omaste funktsioonide seisneb „Sober.i” hävitav toime ussi kehas sisalduvas mehhanismis, mis
lubab eemalt arvutisse laadida suvalisi, kurjategija soovi järgi käivitatavaid faile.

„Sober.i” puhul kasutatakse võrguussidele tavalist käivitusprotseduuri: uss aktiviseerub,


kui arvutikasutaja avab nakatunud kirjale lisatud faili. Peale käivitumist väljastab uss ekraanile
valeteate vea kohta: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Seejärel
loob ta Windows’i süsteemikataloogis kaks faili meelevaldselt, ussi kehas leiduva nimekirja
alusel, koostatud nimega. Need failid ongi ussi põhikomponendid, mis viivad läbi aadresside
kogumise ja koopiate laiali saatmise e-posti abil.

Seejärel kopeerib „Sober.i” end Windows’i süsteemikataloogi ja registreerib ennast


süsteemiregistri automaatkäivitusvõtmesse. Peale selle loob ta Windows-i süsteemikataloogis
mitu lisakoopiat ja abifaili erinevate nimede all. Levimiseks skaneerib „Sober.i” nakatunud arvuti
failisüsteemi, et leida e-posti aadresse ning saadab end leitud aadressidel edasi. Posti
edastamiseks kasutab uss isiklikku SMTP serverit.

„Sober.i”-ga nakatunud kirjad sisaldavad erinevaid teemasid ja tekste saksa või inglise
keeles (mõnikümmend varianti) , mis pannakse juhuslikul valikul mitmest osast kokku. Ka
manuse nimi võib varieeruda erinevate laienditega: „pif”, „zip”, „bat”.

Kaitseprotseduurid „Sober.i” vastu on juba lisatud Kaspersky Lab-i andmebaasi. Täpsema


informatsiooni selle kahjurprogrammi kohta leiate Kaspersky Viiruste Entsüklopeediast