Sober - złośliwy robak

W Internecie pojawił się nowy wirus Sober, którego działanie polega na rozsyłaniu własnych kopii za pośrednictwem poczty elektronicznej.

Pierwszy raz Sober został wykryty w poniedziałek. Jest to tradycyjny robak, który wykorzystuje mechanizm rozprzestrzeniania się jako załącznik do elektronicznego listu. Wirus jest o tyle niebezpieczny, że w przeciwieństwie do odkrytego w ubiegłym tygodniu robaka Flea, kod wirusa Sober ukrywany jest w mailach HTML, tak więc użytkownik Microsoft Outlooka może uaktywnić robaka samym tylko otwarciem zainfekowanego listu.

Jak podaje Graham Cluley, analityk firmy antywirusowej Sophos - "Nie zanotowaliśmy wielu raportów dotyczących wykrycia Flea. Tymczasem robak Sober został już kilkakrotnie wykryty w ciągu pierwszych paru godzin jego działalności."

Sober jest przysyłany jak list elektroniczny pochodzący z Wielkiej Brytanii lub Niemiec, gdzie do użytkowników poczty przesyłana jest w formie załącznika oferta handlowa. Robak wykorzystuje szeroki zestaw nagłówków, podając że załącznik zawiera ofertę począwszy od pornografii aż do oprogramowania antywirusowego.

Po aktywacji wirus instaluje na dysku pliki drv.exe, similare.exe lub systemchk.exe, modyfikuje rejestr tak, aby jego kopia w pliku drv.exe była automatycznie uruchamiana przy każdym starcie systemu Windows, a następne rozsyła się dalej na wszystkie adresy udostępnione na zainfekowanym komputerze, wykorzystując do tego własną maszynę SMTP. W celu utrudnienia wyśledzenia źródła wiadomości, wychodzący mail posiada zafałszowany nagłówek.

Źródło informacji: Vnunet