Массовое распространение клонов Sober угрожает пользователям интернета

"Лаборатория Касперского", ведущий российский разработчик систем защиты от

вирусов, хакерских атак и спама, сообщает об обнаружении трех новых модификаций
известного сетевого червя "Email-Worm.Win32.Sober". По классификации "Лаборатории
Касперского" им были присвоены индексы "u", "v" и "w". Все новые варианты червя
представляют собой различные варианты паковки одной и той же вредоносной
программы. Многочисленные случаи обнаружения в почтовом трафике новых
модификаций Sober подтверждают информацию о том, что данная эпидемия вызвана
цепью спам-рассылок зараженных червем писем.

Новые варианты Sober были разосланы через электронную почту в виде вложений в
электронные письма. Размер приложенного файла, который и содержит тело червя,
составляет около 130 Кб. Несмотря на то, что заголовок и текст зараженного письма
произвольны либо отсутствуют, распознать опасное сообщение позволяет
ограниченность набора названий приложенного файла. Они могут быть следующими:

* Exceltab-packed_List.exe
* Liste.zip
* Reg-List-Dat_Packer2.exe
* reg_text.zip
* Word-Text.zip
* Word-Text_packedList.exe
* Word-Text_packedList.zip

Процедура запуска новых версий вредоносной программы стандартна для семейства

Sober. Активизация червя производится при самостоятельном открытии пользователем
файла, приложенного к зараженному письму. После запуска червь выводит на экран
ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing
~Error".

Затем новые версии "Sober" копируют себя в системный каталог Windows и

регистрируют себя в ключе автозапуска системного реестра. Помимо этого, они
создают несколько дополнительных копий и вспомогательных файлов с разными
именами в системном каталоге Windows. Для своего размножения черви сканируют
файловую систему пораженного компьютера в поисках адресов электронной почты и
рассылают себя по обнаруженному списку адресатов.

"Лаборатория Касперского" предупреждает всех пользователей о появлении опасной

вредоносной программы и рекомендует соблюдать максимальную осторожность при
работе с электронной корреспонденцией.

Процедуры защиты от "Sober.u, v, w" уже добавлены в базу данных Антивируса

Касперского(r). Более подробная информация о данных вредоносных программах
доступна в Вирусной Энциклопедии Касперского.
Võrguussi Sober kloonide massiline levik ohustab internetikasutajaid

Kaspersky Lab, viiruste, häkkerirünnakute ja rämpsposti vastaste kaitsesüsteemide juhtiv

arendaja, teatab tuntud võrguussi Email-Worm.Win32.Sober kolme uue modifikatsiooni
avastamisest. Kaspersky Lab´i klassifikatsiooni järgi said nad indeksid "u", "v" ja "w". Ussi
kõik uued variandid kujutavad endast ühe ja sama kahjurprogrammi erinevalt pakitud
versioone. Võrguussi Sober modifikatsioonide arvukas esinemus postiliikluses kinnitab infot
sellest, et see epideemia on esile kutsutud ussiga nakatatud kirjade ahelpostitusega.

Ussi Sober uued variandid saadeti laiali e-kirjale lisatud manusena. Ussi sisaldava manusfaili
suurus on umber 130 Kb. Vaatamata sellele, et nakatunud kirja päis ja tekst on suvalised või
siis üldse puuduvad, võimaldab nakatunud kirja ära tunda manusfaili piiratud nimevalik.
Nimed võivad olla järgmised:

* Exceltab-packed_List.exe
* Liste.zip
* Reg-List-Dat_Packer2.exe
* reg_text.zip
* Word-Text.zip
* Word-Text_packedList.exe
* Word-Text_packedList.zip

Kahjurprogrammi uute versioonide käivitamine on perekonnale Sober omane. Ussi

aktiveerimine toimub kasutaja initsiatiivil – kirjale lisatud faili avamisel. Pärast käivitamist
väljastab uss ekraanile valeteate veast: "WinZip Self-Extractor. WinZip_Data_Module is
missing ~Error".

Seejärel kopeerivad Sober´i uued versioonid end Windowsi süsteemikausta ja registreeruvad

registrisse automaakäivitusvõtmena. Peale selle loovad nad Windowsi süsteemikausta mõned
eri nimetustega lisakoopiad ja abifailid. Paljunemiseks skaneerivad ussid failisüsteemi e-posti
aadresside leidmiseks ning saadavad end leitud aadressidel laiali.

Kaspersky Lab hoiatab kõiki kasutajaid uue ohtliku kahjurprogrammi ilmumise eest ning
soovitab olla maksimaalselt ettevaatlik võõrastelt tulnud e-posti avamisel.

Kaitseprotseduurid Sober.u, .v ja .w eest on juba lisatud Kaspersky Lab´i

viirusetõrjebaasidesse. Täpsemat teavet neist kahjurprogrammidest võib leida Kaspersky
Viiruste Entsüklopeediast.