Sober.I - kolejna wersja znanego robaka

Pojawiła się nowa wersja robaka Sober. Sober.I rozprzestrzenia się za pośrednictwem poczty e-mail. Trudno jest zidentyfikować infekcję, ponieważ nie powoduje ona wyświetlenia żadnego komunikatu, czy ostrzeżenia.

Do rozprzestrzeniania się robak wykorzystuje własny silnik SMTP. Maile są wysyłane na wszystkie adresy obecne na dysku twardym zainfekowanego komputera w plikach ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DB, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMH, IMM, INBOX, INI, JSP, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS czy XML.

Wiadomości wysyłane przez robaka są w języku angielskim bądź niemieckim, w zależności od domeny adresu email, na który wysyłana jest wiadomość.

Po zainfekowaniu komputera robak tworzy pliki na dysku twardym oraz dodaje wpisy do rejestru, które powodują, że jest on uruchamiany przy każdym starcie systemu.

Do rozsyłanych wiadomości zostaje dołączony plik z rozszerzeniem .pif, .zip, .scr, .bat lub .com. Pliki mogą mieć fałszywe rozszerzenia jak .txt .doc .word .xls .eml .TXT .DOC .EML zakończone prawdziwym rozszerzeniem .zip.

Systemy które są narażone na infekcję to Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 i Windows XP.

Najprawdopodobniej Sober.I nie podejmuje żadnych działań destrukcyjnych.

Secunia uznała, że robak stanowi średnie zagrożenie, wg. Panda Software zagrożenie jest wysokie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200