Sober — компьютерный вирус , сетевой червь , обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды . Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.

Вариации червя и их различия

• Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat , .com , .exe , .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре . Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP , может использоваться случайное название темы и вложения .

В теле червя также содержится текст:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe

Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.

• Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa , EMule и eDonkey2000 . Теперь для вложений может использоваться расширение .cmd .

• Sober.e при скачивании автоматически открывает Microsoft Paint .

• Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма .

• Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов .

• Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a .

• Sober.n при скачивании создаёт определённый файл и открывает его в блокноте .

• Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов .

• Sober.q , в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p .

• Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка .

• Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов .

• Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой для вирусных атак. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк .

• Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии .

См. также

• История компьютерных вирусов
• Asprox
• Mydoom
• Sobig

Примечания