07 Октября 2005 14:10 07 Окт 2005 14:10 |

Поделиться

Sober возвращается под видом школьного друга

Червь был перехвачен с помощью превентивной технологии Panda Software TruPreventTM. Для распространения он использует два вида писем: первое — письмо на английском языке с темой Your new password (Ваш новый пароль). Письмо замаскировано под уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления — pword_change.zip. Второе — письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией самого червя.

Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики

Импортонезависимость

По словам Луиса Корронса, директора антивирусной лаборатории PandaLabs, «черви Sober всегда могли похвастаться своей способностью к распространению, и новая версия не является исключением. Вероятно, тому причиной является то, что она использует методы социальной инженерии, убеждая пользователей запустить зараженные файлы и изменяя язык отправляемого сообщения в зависимости от местоположения получателя».

В связи с резким увеличением числа инцидентов, вызванных новым Sober.Y, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и уничтожает этого червя с любого зараженного компьютера.

Поделиться

Подписаться на новости Короткая ссылка