Вы находитесь на странице: 1из 2

Эпидемия червя Sober.

p зафиксирована в Западной Европе

«Лаборатория Касперского», разработчик систем защиты от вирусов, хакерских


атак и спама, сообщает об обнаружении новой версии почтового червя Email-
Worm.Win32.Sober – Email-Worm.Win32.Sober.p.

Первое появление вредоносной программы в сети Интернет зафиксировано


экспертами «Лаборатории Касперского» 2 мая. На данный момент, согласно
сообщениям провайдеров услуг Интернет, этот червь является наиболее часто
встречающейся вредоносной программой в почтовом трафике. Следует также отметить,
что Sober.p уже побил все возможные рекорды своих «предшественников» - других
почтовых червей – по количеству рассылаемых писем и скорости распространения в
западноевропейском сегменте сети Интернет (Голландия, Германия, Венгрия и другие
страны), тогда как от азиатских и российских пользователей поступает минимум жалоб
на заражение данной версией червя Sober.

Sober.p распространяется через электронную почту в виде вложений в


электронные письма. Червь представляет собой самораспаковывающийся архив
размером около 53 КБ, вложенный в письмо с произвольно выбранными заголовком и
текстом письма (зачастую на немецком языке). Наименование зараженного вложения
при этом также выбирается произвольно из определенного списка и получает
расширение .zip.

Червь активирует себя при запуске зараженного вложения пользователем. После


запуска на экране появляется сообщение архиватора об ошибке в CRC (“CRC not
complete”). Работающий червь копирует себя в системный каталог под именами
сервисных системных программ и создает собственные копии в нескольких папках, а
также регистрирует себя в ключе системного реестра.

После копирования червь осуществляет поиск адресов для проведения рассылки.


Поиск производится как в адресных книгах, так и в файлах, содержащих различные
виды данных – текстовые файлы, презентации Microsoft Power Point, базы данных и т.д.
Когда поиск завершен, червь рассылает себя по всем найденным на зараженном
компьютере адресам.

Процедуры защиты от "Email-Worm.Win32.Sober.p" уже добавлены в базу


данных Антивируса Касперского®. Более подробная информация о данной
вредоносной программе доступна в Вирусной Энциклопедии Касперского
(http://www.viruslist.com/ru/alerts?alertid=163046880).
Lääne-Euroopas fikseeriti ussi Sober.p epideemia

Kaspersky Lab, viiruste, häkkerirünnakute ja rämpsposti vastaste kaitsesüsteemide


arendaja, teatab postiussi Email-Worm.Win32.Sober uue versiooni - Email-
Worm.Win32.Sober.p avastamisest.

Selle kahjurprogrammi esmailmumine internetti fikseeriti Kaspersky Lab-i ekspertide


poolt 2. mail. Praegusel hetkel on see uss - internetiteenuse pakkujate andmeile toetudes -
postiliikluses enim kohatud kahjurprogramm. Tasub ka märkimist tõsiasi, et Sober.p on juba
löönud oma ”eelkäijate”, teiste postiusside, kõikvõimalikud rekordid laialisaadetavate kirjade
hulgalt ja levikukiiruselt Lääne-Euroopa (Holland, Saksamaa, Ungari ja teised maad)
internetisegmendis. Samas saabub Aasia ja Venemaa kasutajatelt minimaalselt kaebusi Sober-
iga nakatumise kohta.

Sober.p levib sõnumimanusena e-posti kaudu. Uss kujutab endast suvaliselt valitud
päise ja tihtipeale saksakeelse sõnumitekstiga kirjale manustatud iseavanevat arhiivi
suurusega umbes 53 KB. Nakatunud manus saab ZIP-laiendi ja kindlaksmääratud nimekirjast
valitud juhusliku nimetuse.

Kasutaja aktiveerib ussi, kui ta käivitab kirjamanuse. Pärast käivitamist ilmub


ekraanile arhivaatori teade CRC veast (“CRC not complete”). Töötav uss kopeerib end
süsteemikausta süsteemsete teenusprogrammidena ja loob oma koopiad mitmetesse
kaustadesse ning registreerub süsteemiregistri võtmena.

Pärast kopeerimist otsib uss postitamiseks aadresse. Neid otsitakse nii


aadressiraamatutest kui ka neist failidest, mis sisaldavad erinevat tüüpi andmeid: tekstifailid,
Microsoft Power Point presentatsioonid, andmebaasid jne. Kui uss on otsingu lõpetanud,
saadab ta end edasi kõikidele nakatunud arvutist leitud aadressidele.

Kaitseabinõud Email-Worm.Win32.Sober.p puhul on lisatud Kaspersky Anti-Virus-e


viirusetõrjebaasidesse. Täpsemat teavet selle kahjuri kohta saab Kaspersky ”Viiruste
Entsüklopeediast” (http://www.viruslist.com/en/alerts?alertid=163221964).