Текст: Владимир Парамонов
"Лаборатория Касперского" обнаружила новую версию вредоносной программы Sober - червя, распространяющегося по электронной почте в виде прикрепленных к письмам файлов с расширениями .pif или .zip.
Вредоносная программа Sober.G написана на языке Visual Basic и упакована UPX. Размер в сжатом виде равен примерно 47 кб и может незначительно изменяться из-за того, что червь дописывает в конец файла произвольные данные. О наличии вируса на компьютере можно судить по специфичному сообщению об ошибке, которое выводится на дисплей после запуска. В частности, червь отображает текст "File not found Special-UnZip Data-Module is missing" и предлагает открыть блокнот. Причем, если пользователь выполнит рекомендации червя, на экране появится документ, содержащий произвольный набор символов.
Далее Sober.G создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из доступного списка, регистрируется в ключе автозапуска реестра и сканирует винчестер в поисках адресов электронной почты. Для рассылки зараженных писем используется прямое подключение к SMTP-серверу, кроме того, вирус пытается проникнуть в пиринговые сети. Инфицированные сообщения содержат произвольный текст на английском или немецком языках и имеют сгенерированные случайным образом заголовки.
Вирус также способен загружать на зараженный компьютер и запускать на выполнение произвольные файлы с интернет-сайтов free.pages.at, home.arcor.de, home.pages.at, people.freenet.de и scifi.pages.at. Обновления баз данных "Антивируса Касперского" для защиты от Sober.G уже выпущены.
