RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.e
| Время детектирования | 28 мар 2004 19:53 MSK |
| Время выпуска обновления | 28 мар 2004 19:53 MSK |
| Описание опубликовано | 29 мар 2004 16:59 MSK |
Технические детали
Вирус-червь. Распространяется, рассылая себя по электронной почте в качестве заархивированного вложения.
Характеристики зараженных писем
Тема письма:
Выбирается произвольно из списка:
Hey! hey? Hi hi Hi :-) Ok ;-) OK OK OK Ok OK!
Текст письма:
Текст письма составляется из нескольких случайных слов из списка:
;-) HA :-) ha! lol LoL LOL thx THX Thx! yo!
Вложение:
Файл внутри архива имеет название "graphic_textdocument.pif".
Инсталляция
При запуске червя открывается окно графического редактора Microsoft Paint.
Червь копирует себя в системную директорию Windows под именем, скомпонованным случайным образом (например, smss32dir.exe или diagspool.exe), и добавляет в реестр ссылку на автозапуск данного файла.
Размножение
Червь осуществляет поиск email-адресов в файлах с расширениями rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx и др. и рассылает по найденным адресам зараженные письма.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Sober. e («Лаборатория Касперского») - Virus:
W32/Sober. e@MM (McAfee) - W32/Sober-E (Sophos)
- Worm.
Sober. E (ClamAV) - W32/Sober.
E. worm (Panda) - W32/Sober.
E@mm (FPROT) - Worm:
Win32/Sober. E@mm (MS(OneCare)) - Win32.
HLLM. Generic. 283 (DrWeb) - Win32/Sober.
E worm (Nod32) - Win32.
Sober. E@mm (BitDef7) - I-Worm.
Sober. F (VirusBuster) - Win32:
Sober-E [Wrm] (AVAST) - I-Worm/Sober.
E (AVG) - WORM/Sober.
E (AVIRA) - W32.
Sober. E@mm (NAV) - Sober.
E@mm (Norman) - W32/Sober.
E@mm (NAI) - WORM_SOBER.
GEN (PCCIL) - Worm.
Sober. e (Rising) - Email-Worm.
Win32. Sober. e [AVP] (FSecure) - WORM_SOBER.
GEN (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - I-Worm.
Sober. F (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей