Новий поштовий вірус Sobig
Опублiковано 16 сiчня 2003 року
Антивірусні компанії повідомляють про ріст темпів поширення поштового хробака
I-Worm.Sobig. Уперше цей вірус був виявлений ще 9 січня, однак останнім часом темпи його
поширення ростуть. Це змусило борців з вірусами трохи підвищити рейтинг
небезпеки Sobig. Наприклад, фінська компанія F-Secure привласнила вірусові другий клас
небезпеки, що вже не виключає можливості великих регіональних епідемій. До цього
ж класу F-Secure відносить такі віруси як Klez і Mylife.
Технічно новий вірус досить простий. У характеристиці хробака, даною
'Лабораторією Касперського', вказується, що заражений лист приходить завжди
з того самої адреси big@boss.com. Варіантів теми листа з вірусом всього чотири: Re: Movies, Re:
Sample, Re: Document, Re: Here is that sample. Одне з чотирьох імен (Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif або
Sample.pif) носить і заражений файл. Для активізації вірусу необхідно, щоб користувач
самостійно відкрив вкладення. Варто відзначити, що інші розповсюджені віруси
використовують значно більш складні алгоритми для вибору адреси відправника,
теми й імена файлів.
Після цього хробак копіює себе з ім'ям winmgm32.exe у каталог Windows і реєструє цей файл
у ключі автозапуску системного реєстру. При розсиланні заражених листів хробак
використовує пряме підключення до SMTP-сервера, а адреси для розсилання шукає у
файлах з розширеннями .wab, .dbx, .htm, .html, .eml і .txt. Крім цього, при активізації хробак
намагається встановити на комп'ютер програму, що дає авторові вірусу доступ до
зараженого комп'ютера. I-Worm.Sobig здатний поширюватися і по локальній мережі, для
чого він поміщає свої копії на всі доступні комп'ютери, у папку Windows/All Users/Start
Menu/Programs/StartUp або Documents and Settings/All Users/Start Menu/Programs/Startup.
джерело : www.compulenta.ru
[Редаговано 18-2-2003 agent]
 |
