Sober возвращается: на этот раз он использует методы социальной инженерии

Червь Sober.Y распространяется в электронных сообщениях на английском и немецком языках, выдавая себя за уведомление о новом пароле или фотографию старых школьных друзей.

Екатеринбург, 7 октября 2005

Антивирусная лаборатория Panda Software зафиксировала появление новой версии червя Sober - Sober.Y, которая распространяется, используя методы социальной инженерии. Этот червь был перехвачен технологией Panda Software TruPreventTM, для чего не потребовалось предварительной идентификации, поэтому она была в состоянии защитить своих пользователей с самого начала атаки.

Для распространения червь использует два вида писем: первое - письмо на английском языке с темой “Your new password” (Ваш новый пароль), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления - pword_change.zip. Второе – письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией самого червя.

Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.

По словам Луиса Корронса, директора антивирусной лаборатории PandaLabs, “черви Sober всегда могли похвастаться своей способностью к распространению, и новая версия не является исключением. Вероятно, тому причиной является то, что она использует методы социальной инженерии, убеждая пользователей запустить зараженные файлы, и изменяя язык отправляемого сообщения в зависимости от местоположения получателя".

В связи с резким увеличением числа инцидентов, вызванных новым Sober.Y, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и уничтожает этого червя с любого зараженного компьютера. Ее можно скачать по адресу http://www.pandasoftware.com/download/utilities.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software: www.viruslab.ru.

О PandaLabs

С 1990 года миссией лаборатории стал как можно более оперативный анализ новых угроз во имя защиты наших клиентов. Несколько команд, каждая из которых специализируется в конкретном типе вредоносного ПО (вирусы, черви, троянцы, шпионы, фишинг, спам и т.д.), работают круглосуточно для предоставления непрерывной поддержки. В достижении этого им на помощь приходит технология TruPrevent™, действующая как глобальная система раннего оповещения, состоящая из стратегически распределенных сенсоров, нейтрализующих новые угрозы и отправляющих их в PandaLabs на анализ. По данным Av.Test.org, PandaLabs в настоящий момент является самой быстрой лабораторией по предоставлению обновлений пользователям во всей отрасли (более подробная информация на www.pandasoftware.com/pandalabs.asp).

Опубликовано: 7 октября 2005 г.

Ключевые слова: нет

Извините, комментариев пока нет