Sober (червь)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Sober
Полное название (Касперский) Email-Worm.Win32.Sober.a
Тип Сетевой червь
Год появления октябрь 2003 года
Описание Symantec
Описание Securelist

Soberкомпьютерный вирус, сетевой червь, обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды[1]. Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.

Вариации червя и их различия

[править | править код]
  • Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat, .com, .exe, .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре. Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP, может использоваться случайное название темы и вложения[2].

В теле червя также содержится текст:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe

Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.

  • Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa, EMule и eDonkey2000. Теперь для вложений может использоваться расширение .cmd[3].
  • Sober.e при скачивании автоматически открывает Microsoft Paint[4].
  • Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма[5].
  • Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов[6].
  • Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a[7].
  • Sober.n при скачивании создаёт определённый файл и открывает его в блокноте[8].
  • Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов[9][10].
  • Sober.q, в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p[9][11].
  • Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка[12].
  • Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов[13].
  • Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой для вирусных атак. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк[14].
  • Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии[15].

Примечания

[править | править код]
  1. Security Firms Warn of Looming Sober Worm Threat. TechNewsWorld. Дата обращения: 18 сентября 2021.
  2. Архивированная копия. Дата обращения: 3 марта 2006. Архивировано 7 ноября 2007 года.
  3. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 7 января 2006 года.
  4. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
  5. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 6 ноября 2005 года.
  6. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 1 ноября 2005 года.
  7. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2005 года.
  8. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 22 ноября 2005 года.
  9. 1 2 Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
  10. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
  11. E-mail worm throws up hate spam. BBC News. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2008 года.
  12. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 11 декабря 2005 года.
  13. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
  14. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
  15. Архивированная копия. Дата обращения: 18 сентября 2021. Архивировано 18 марта 2006 года.