Sober (червь)
Sober — компьютерный вирус, сетевой червь, обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды[1]. Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.
Sober | |
---|---|
Полное название (Касперский) | Email-Worm.Win32.Sober.a |
Тип | Сетевой червь |
Год появления | октябрь 2003 года |
Описание Symantec | |
Описание Securelist |
Вариации червя и их различияПравить
- Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat, .com, .exe, .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре. Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP, может использоваться случайное название темы и вложения[2].
В теле червя также содержится текст:
Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe
Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.
- Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa, EMule и eDonkey2000. Теперь для вложений может использоваться расширение .cmd[3].
- Sober.e при скачивании автоматически открывает Microsoft Paint[4].
- Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма[5].
- Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов[6].
- Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a[7].
- Sober.n при скачивании создаёт определённый файл и открывает его в блокноте[8].
- Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов[9][10].
- Sober.q, в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p[9][11].
- Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка[12].
- Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов[13].
- Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой к вирусным атакам. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк[14].
- Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии[15].
См. такжеПравить
ПримечанияПравить
- ↑ Security Firms Warn of Looming Sober Worm Threat (неопр.). TechNewsWorld. Дата обращения: 18 сентября 2021.
- ↑ Архивированная копия (неопр.). Дата обращения: 3 марта 2006. Архивировано из оригинала 7 ноября 2007 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 7 января 2006 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 31 октября 2005 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 6 ноября 2005 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 1 ноября 2005 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 23 ноября 2005 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 22 ноября 2005 года.
- ↑ 1 2 Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 10 июня 2006 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 31 октября 2005 года.
- ↑ E-mail worm throws up hate spam (неопр.). BBC News. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2008 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 11 декабря 2005 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 10 июня 2006 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 10 июня 2006 года.
- ↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано из оригинала 18 марта 2006 года.