Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Dwujęzyczny robak Sober.q przyprawia Europejczyków o ból głowy

Analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykryli nową wersję robaka Sober - Email-Worm.Win32.Sober.q. Szkodnik ten jest pobierany na komputery zainfekowane robakiem Sober.p. Szkodnik nie ma możliwości samodzielnego rozprzestrzeniania się, jednak wysyła z zainfekowanych komputerów wiadomości typu spam.

Sober.q kopiuje się do foldera \Windows\System i modyfikuje rejestr systemowy zapewniając sobie w ten sposób uruchamianie wraz z każdym startem systemu operacyjnego. Dodatkowo szkodnik tworzy w zainfekowanym systemie kilka innych plików. Sober.q wyszukuje adresy e-mail, zapisuje je w specjalnym pliku i wysyła do wszystkich znalezionych kontaktów (z wyjątkiem tych, należących do twórców oprogramowania antywirusowego) wiadomości typu spam.

Szkodnik zapisuje także na dysku plik zawierający przesłanie od autora:

Ich bin immer noch kein Spammer! 
Aber sollte vielleicht einer werden :) 

[Nie jestem jeszcze spamerem!
Ale być może się nim stanę :)]

Plik ten zawiera także odsyłacze do internetowych artykułów informujących o tym, że autor Sobera wykorzystuje sieci zainfekowanych komputerów (botnety), które mogą zostać użyte do masowego rozsyłania spamu.

Zamiast rozprzestrzeniać się Sober.q wysyła z zainfekowanych komputerów angielski i niemiecki spam. Wiadomości w języku niemieckim wysyłane są pod adresy z domen .de, .ch, .at, .li oraz .gmx. Zawierają one prawicowe teksty oraz odsyłacze do takich właśnie stron WWW. Użytkownicy adresów znajdujących się w pozostałych domenach otrzymują anglojęzyczne wiadomości, także o politycznej, prawicowej treści. Robak posiada bazę kilku tuzinów różnych wariantów wysyłanych wiadomości. Mimo, iż ich treści mogą obrażać niektórych odbiorców, wszystkie odsyłacze prowadzą do legalnych stron WWW, na których nie ma żadnych szkodliwych programów.

Podobnie do poprzedników, Sober.q łączy się z kilkoma serwerami NTP i synchronizuje z nimi datę i czas systemowy na zainfekowanym komputerze. Dnia 11 maja Sober.q podejmuje próbę zamknięcia kilku procesów (microsoftanti, gcas, gcip, giantanti, inetupd, nod32kui, nod32, fxsob, s-t-i-n-g, hijack, sober), co może być znacznym utrudnieniem podczas usuwania szkodnika.

Szczegółowy opis robaka Sober.q znajduje się w naszej Encyklopedii Wirusów.



 2005-05-16  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych