Новый Sober рвется в лидеры
Новости Безопасность
Служба вирусного мониторинга компании «Доктор Веб» сообщает о серьезной эпидемии в сети Интернет, связанной с интенсивным распространением почтового червя массовой рассылки из семейства Sober, получившего в классификации компании название Win32.HLLM.Generic.345. Другими антивирусными вендорами червь окрещен W32/Sober.p@MM, WORM_SOBER.S, Win32.Sober.N, Sober.P.
По данным системы глобальной вирусной статистики компании «Доктор Веб», всего за несколько часов после своего появления червь умудрился захватить более 20 % зараженного различными вирусами трафика, мгновенно потеснив многочисленных представителей семейства Netsky, прочно удерживавших лидирующих первые места в вирусном хит-параде, заняв второе место в «горячей вирусной десятке».
Новый Sober распространяется по электронной почте при помощи собственной реализации протокола SMTP в виде электронных сообщений на английском или немецком языках. Получаемые пользователем письма замаскированы под просьбы подтверждения пароля или сообщения с подтверждением регистрации. Вложение, сопровождающее подобное письмо, может быть как на английском, так и на немецком и имеет следующие названия:
LOL.zip
our_secret.zip
mail_info.zip
account_info.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
Поникнув в систему, червь демонстрирует на экране дисплея сообщение якобы об ошибке в приложении WinZip. Червь создает множество файлов в системной директории и в директории Windows, среди которых копии червя
CSRSS.EXE
SERVICES.EXE
SMSS.EXE
Свой автозапуск червь обеспечивает путем внесения данных
"_WinStart" = C:WINDOWSConnection WizardStatusservices.exe
в ключи реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Единственное деструктивное действие червя - удаление или перезаписывание своей копией некоторых программных файлов в директории Symantec.
Компания «Доктор Веб» настоятельно рекомендует относиться с особой осторожностью к подозрительным письмам, не открывать письма от незнакомых или едва знакомых адресатов, если они приходят с вложениями, вызывающими у Вас подозрения. В случае, если на Вашем компьютере не установлена антивирусная программа и Вы опасаетесь, что заражены этим вирусом, Вы всегда можете проверить вызывающий подозрение файл-вложение с помощью бесплатного сервиса вирусной онлайн-проверки компании «Доктор Веб»:
Кроме того, если Вы еще не пользуетесь антивирусом или не уверены, что ваш антивирус работоспособен, Вы можете воспользоваться новым бесплатным сервисом компании «Доктор Веб», скачав пакет экспресс-сканирования системы CureIT! ( скачать) и запустив его. В считанные секунды антивирусный сканер Dr.Web проверит Ваш компьютер на наличие активных вредоносных программ и вылечит их.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
