Every year, collectors and enthusiasts wonder what Products Rolex will launch, and the extra months of speculation have only magnified the process this year. New are always exciting, but it seems to be forgotten that the brand also discontinues a few models each year - and the most important tend to be those that are removed from the catalogue.

Nowy Sober rozprzestrzenia się agresywniej

Kolejna wersja robaka internetowego Sober pojawiła się w Internecie w poniedziałek i szybko zaczęła atakować komputery w Europie oraz Stanach Zjednoczonych - alarmują specjaliści z firm zajmujących się bezpieczeństwem Sieci.

Pierwsze egzemplarze robaka o nazwie W32.Sober-K-mm zostały przechwycone przez ekspertów z brytyjskiej firmy MessageLabs. W ciągu pierwszej godziny od jego wykrycia zanotowano 663 przypadki wiadomości pocztowych z nowym Soberem, a ich liczba w kolejnych godzinach wzrosła do 2200, co zmusiło specjalistów do wystawienia mu wysokiego stopnia zagrożenia. Jak twierdzi Maksym Schipka, starszy specjalista w MessageLabs: "W porównaniu do poprzednich odmian Sobera, wygląda na to, iż obecna rozprzestrzenia się o wiele bardziej agresywnie".

Najnowsza odmiana Sobera po raz pierwszy pojawiła się w Sieci w Niemczech. Niedługo później pierwsze przypadki infekcji zanotowano na terenie Wielkiej Brytanii, Francji oraz Stanów Zjednoczonych. Jak twierdzi Schipka, jego autorem jest ta sama osoba, która napisała pierwszą wersję. Pojawiła się ona w październiku 2003 roku i również po raz pierwszy zauważono ją u naszych zachodnich sąsiadów. " Nie wydaje mi się, aby kod źródłowy Sobera został opublikowany" - podkreśla Maksym Schipka.

W32.Sober-K-mm rozprzestrzenia się jako załącznik do wiadomości pocztowej o różnych tytułach i treści. A oto przykłady niektórych tytułów wiadomości: "Alert! New Sober worm", "Paris Hilton Sex Videos", "You visit illegal websites", "Your new Password". Robak generuje również fałszywą treść, która ma zadanie zachęcić internautę do otwarcia załącznika w formacie ZIP. Zdarzają się również wiadomości rzekomo pochodzące od firm antywirusowych i zawierające szczepionkę na Sobera. W rzeczywistości w środku znajduje się oczywiście kolejna kopia insekta.

Gdy użytkownik uruchomi załącznik, robak tworzy kilka wykonywalnych plików o nazwach "csrss.exe", "winlogon.exe" oraz "smss.exe". Modyfikuje gałąź rejestru "Software\Microsoft\Windows\CurrentVersion\Run", tak aby założone pliki były uruchamiane wraz ze startem systemu.

Jak powiedziała nam Monika Ostrowska z MKS: "Jak na razie Sober nie rozchodzi się w Polsce, mieliśmy tylko jedno zgłoszenie emailowe z pytaniem od klienta czy plik jest niebezpieczny. Na kilku większych serwerach w Polsce rownież nie jest obecny. Żadna z osób, które używały skanera online, nie miała komputera zainfekowanego tym robakiem. Jedyne przypadki infekcji w tym miesiącu dotyczyły wersji C, a i tak było ich niewiele".