Sober продолжает развиваться
4 апреля немецкими разработчиками антивирусного ПО была обнаружена очередная версия почтового червя Sober - F. Этот червь написан на языке Visual Basic, исполняемый файл имеет размер 42496 байт и упакован с помощью модифицированной версии компрессора UPX. Червь имеет свой собственный SMTP-механизм распространения. После установки в систему вирус однократно копирует себя в папку System ОС Windows под названием, выбранным случайно из определенного набора, и создает две строки автозапуска в сисемной реестре Windows. В качестве имени для этого файла и cnhjrb запуска используетcя следующие слова: sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32. Червь создает также два пустых файла mndpgwf.kxx и bcegfds.lll в той же папке и сканирует жесткий диск на предмет выявления адресов электронной почты.Червь рассылает ряд сообщений, написанных на английском или немецком языках.
Червь Sober.F постоянно проверяет наличие файла CVQAIKXT.APK. на жестком
диске. При его обнаружении вирус стирает себя из памяти. Если данный файл
обнаруживается еще в процессе установки червя, червь не копирует себя на
жесткий диск. Sober.F блокирует доступ к своим файлам, находясь в памяти компьютера, сообщила компания F-secure.