Новый червь Sober имеет политическую окраску
«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного
Вредоносная программа распространяется при помощи предшествующей версии червя, Sober.p, содержащей функцию загрузки файлов с нескольких
Sober.q представляет собой модификацию исходного кода почтового червя
Будучи запущенным и активизированным на атакуемом компьютере своим предшественником, Sober.q копирует себя в системный каталог Windows и регистрируется в ключе автозапуска системного реестра и в ключе, отвечающем за запуск исполняемых файлов. Таким образом, червь получает управление при каждом запуске любого исполняемого файла в зараженной системе. Помимо этого, он создает несколько вспомогательных файлов с разными именами в системном каталоге Windows. Затем Sober.q сканирует файловую систему пораженного компьютера и записывает в специальные файлы все найденные адреса электронной почты, за исключением принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения.
Далее вредоносная программа производит ряд действий, не
вписывающихся в стандартный алгоритм действий червей семейства Sober.
Вирус создает файл под названием %system%\Spammer.ReadMe и следующим
текстом на немецком языке: Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne. (Я пока еще не спамер! Однако один, вероятно, должен был быть им :) В этом смысле). Затем вредоносная программа рассылает по всем найденным адресам, относящимся к доменным зонам de, ch, at, li и gmx письма с текстами
Наконец, аналогично предыдущим вариантам червя, Sober.q путем
обращения к нескольким
Процедуры защиты от Sober.q уже добавлены в базу данных «Антивируса Касперского».