Email-Worm.Win32.Sober.e

Главная / Описания / Email-Worm.Win32.Sober.e

Печать

Закладки

Время детектирования	28 мар 2004 19:53 MSK
Время выпуска обновления	28 мар 2004 19:53 MSK
Описание опубликовано	29 мар 2004 16:59 MSK

Технические детали

Вирус-червь. Распространяется, рассылая себя по электронной почте в качестве заархивированного вложения.

Характеристики зараженных писем

Тема письма:

Выбирается произвольно из списка:

Hey!
hey?
Hi
hi
Hi :-)
Ok ;-)
OK OK
OK Ok OK!

Текст письма:

Текст письма составляется из нескольких случайных слов из списка:

;-)
HA :-)
ha!
lol
LoL
LOL
thx
THX
Thx!
yo!

Вложение:

Файл внутри архива имеет название "graphic_textdocument.pif".

Инсталляция

При запуске червя открывается окно графического редактора Microsoft Paint.

Червь копирует себя в системную директорию Windows под именем, скомпонованным случайным образом (например, smss32dir.exe или diagspool.exe), и добавляет в реестр ссылку на автозапуск данного файла.

Размножение

Червь осуществляет поиск email-адресов в файлах с расширениями rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx и др. и рассылает по найденным адресам зараженные письма.

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Sober.a

Email-Worm.Win32.Sober.c

Email-Worm.Win32.Sober.f

Email-Worm.Win32.Sober.g

Email-Worm.Win32.Sober.i

Email-Worm.Win32.Sober.u

Email-Worm.Win32.Sober.v

Email-Worm.Win32.Sober.y

Другие названия

Email-Worm.Win32.Sober.e («Лаборатория Касперского») также известен как:

I-Worm.Sober.e («Лаборатория Касперского»),
Virus: W32/Sober.e@MM (McAfee)
W32/Sober-E (Sophos)
Worm.Sober.E (ClamAV)
W32/Sober.E.worm (Panda)
W32/Sober.E@mm (FPROT)
Worm:Win32/Sober.E@mm (MS(OneCare))
Win32.HLLM.Generic.283 (DrWeb)
Win32/Sober.E worm (Nod32)
Win32.Sober.E@mm (BitDef7)
I-Worm.Sober.F (VirusBuster)
Win32:Sober-E [Wrm] (AVAST)
I-Worm/Sober.E (AVG)
WORM/Sober.E (AVIRA)
W32.Sober.E@mm (NAV)
Sober.E@mm (Norman)
W32/Sober.E@mm (NAI)
WORM_SOBER.GEN (PCCIL)
Worm.Sober.e (Rising)
Email-Worm.Win32.Sober.e [AVP] (FSecure)
WORM_SOBER.GEN (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
I-Worm.Sober.F (VirusBusterBeta)