Nowy Sober rozprzestrzenia się agresywniej

Kolejna wersja robaka internetowego Sober pojawiła się w Internecie w poniedziałek i szybko zaczęła atakować komputery w Europie oraz Stanach Zjednoczonych - alarmują specjaliści z firm zajmujących się bezpieczeństwem Sieci.

Pierwsze egzemplarze robaka o nazwie W32.Sober-K-mm zostały przechwycone przez ekspertów z brytyjskiej firmy MessageLabs. W ciągu pierwszej godziny od jego wykrycia zanotowano 663 przypadki wiadomości pocztowych z nowym Soberem, a ich liczba w kolejnych godzinach wzrosła do 2200, co zmusiło specjalistów do wystawienia mu wysokiego stopnia zagrożenia. Jak twierdzi Maksym Schipka, starszy specjalista w MessageLabs: "W porównaniu do poprzednich odmian Sobera, wygląda na to, iż obecna rozprzestrzenia się o wiele bardziej agresywnie".

Najnowsza odmiana Sobera po raz pierwszy pojawiła się w Sieci w Niemczech. Niedługo później pierwsze przypadki infekcji zanotowano na terenie Wielkiej Brytanii, Francji oraz Stanów Zjednoczonych. Jak twierdzi Schipka, jego autorem jest ta sama osoba, która napisała pierwszą wersję. Pojawiła się ona w październiku 2003 roku i również po raz pierwszy zauważono ją u naszych zachodnich sąsiadów. " Nie wydaje mi się, aby kod źródłowy Sobera został opublikowany" - podkreśla Maksym Schipka.

W32.Sober-K-mm rozprzestrzenia się jako załącznik do wiadomości pocztowej o różnych tytułach i treści. A oto przykłady niektórych tytułów wiadomości: "Alert! New Sober worm", "Paris Hilton Sex Videos", "You visit illegal websites", "Your new Password". Robak generuje również fałszywą treść, która ma zadanie zachęcić internautę do otwarcia załącznika w formacie ZIP. Zdarzają się również wiadomości rzekomo pochodzące od firm antywirusowych i zawierające szczepionkę na Sobera. W rzeczywistości w środku znajduje się oczywiście kolejna kopia insekta.

Gdy użytkownik uruchomi załącznik, robak tworzy kilka wykonywalnych plików o nazwach "csrss.exe", "winlogon.exe" oraz "smss.exe". Modyfikuje gałąź rejestru "Software\Microsoft\Windows\CurrentVersion\Run", tak aby założone pliki były uruchamiane wraz ze startem systemu.

Jak powiedziała nam Monika Ostrowska z MKS: "Jak na razie Sober nie rozchodzi się w Polsce, mieliśmy tylko jedno zgłoszenie emailowe z pytaniem od klienta czy plik jest niebezpieczny. Na kilku większych serwerach w Polsce rownież nie jest obecny. Żadna z osób, które używały skanera online, nie miała komputera zainfekowanego tym robakiem. Jedyne przypadki infekcji w tym miesiącu dotyczyły wersji C, a i tak było ich niewiele".

internetSTANDARD dostarcza najświeższe informacje i analizy z branży IT, e-commerce, reklamy i marketingu internetowego.

Znajdź nas

Kopiowanie, reprodukcja, retransmisja lub redystrybucja jakichkolwiek materiałów zamieszczonych w serwisie internetSTANDARD w całości lub w części, w jakimkolwiek medium lub w jakiejkolwiek formie bez oficjalnej zgody wydawnictwa jest stanowczo zabronione.