В Интернете появилась новая модификация червя Sobig [ Редагувати ]
В Интернете появилась новая модификация червя Sobig
"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой модификации сетевого червя Sobig (Sobig.f). Сообщения о случаях заражения данной вредоносной программой уже поступили из России и нескольких европейских стран.
Sobig.f практически ничем не отличается от своих предшественников, первый из которых был найден в середине января 2003 года. Косметические изменения коснулись лишь признаков рассылаемых писем (тема, текст, имена вложенных файлов) и даты деактивации. 10 сентября червь переходит в спящий режим и никак более не выдает своего присутствия на компьютере.
Напомним, что Sobig распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии.
Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft.
Среди побочных действий Sobig необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.
Справка. Вирус-червь распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, и по сетевым ресурсам.
Червь является приложением Windows (PE EXE-файл), написан на Microsoft Visual C++, упакован утилитой TeLock, размер упакованного файла около 70КB, распакованного - около 100КB.
В письмах червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). При запуске зараженного файла червь инсталлирует себя в систему и запускает процедуры своего распространения.
Червь ищет файлы *.TXT, *.EML, *.HTML, *.HTM, *.DBX, *.WAB, *.MHT, *.HLP во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма.
Поле "От:" подделывается (в него вставляется какой-либо ещё электронный адрес, обнаруженный на зараженном компьютере) или содержит адрес [email protected].
Возможны следующие варианты Заголовка писем, Текста и Имени вложения:
Заголовок:
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Текст:
See the attached file for details
Please see the attached file for details.
Вложение:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Червь также создаёт файл winstt32.dat в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем.
