Новый сетевой червь восхищается автором »Sobig» и маскируется под антивирус.

»Лаборатория Касперского» предупреждает о начале эпидемии сетевого червя »Sober». Данная вредоносная программа была обнаружена еще в субботу, однако сейчас наблюдается всплеск ее активности, что связано с началом рабочей недели.

»Sober» является классическим сетевым червем, распространяющимся по электронной почте. Зараженные письма могут содержать различные заголовки, тексты на английском и немецком языках, а также имена и расширения (PIF, BAT, SCR, COM, EXE) вложенных файлов, что значительно затрудняет его идентификацию по внешним признакам. Например:

Тема письма: New Sobig-Worm variation (please read)

Текст письма: New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!

Имя вложенного файла: NAV.pif

Если пользователь имел неосторожность запустить вложенный в зараженное письмо файл, то »Sober» показывает на экране фальсифицированное сообщение об ошибке:

File not complete!

Затем червь создает в системном каталоге Windows три свои копии с различными именами и регистрирует их в ключе автозапуска системного реестра операционной системы. После этого »Sober» запускает процедуру распространения. Для этого он сначала находит на зараженном компьютере файлы, которые могут содержать электронные адреса (например, HTML, WAB, EML, PST и др.), считывает оттуда данные и, незаметно для владельца компьютера от его имени рассылает найденным адресатам свои копии.

Червь также содержит в своем теле текстовые строки, где автор »Sober» выражает свое восхищение автором другого сетевого червя, »Sobig».

Процедуры защиты от »Sober» уже добавлены в базу данных Антивируса Касперского. Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.