Архив

Возвращение червя Sobig

«Лаборатория Касперского» сообщает об обнаружении новой разновидности сетевого червя Sobig. Учитывая широкое распространение предыдущих версий этой вредоносной программы, антивирусные эксперты компании прогнозируют возможное возникновение очередной крупномасштабной эпидемии. На данный момент уже зарегистрировано несколько случаев заражений.

С момента появления червя в середине января 2003 г. было обнаружено всего три версии червя, имеющие индексы «A», «B» и «C». Несмотря на это, уже в майской двадцатке самых распространенных вредоносных программ Sobig уверенно занял первое место, опередив печально известных Klez и Lentin (aka Yaha).

Напомним, что Sobig распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии. Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft.

Среди побочных действий Sobig необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.

Sobig.b (также известный как Palyh) по сути «вдохнул» вторую жизнь в червя, и именно благодаря ему семейство поднялось на высшую ступень майского рейтинга самых распространенных вредоносных программ. Однако в его коде был заложен временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh, поскольку web-серверы, с которых он скачивает свои обновления, уже закрыты.

Новая версия, Sobig.c, практически не отличается от своих предшественников и имеет ту же самую особенность — червь будет работоспособен только до 8 июня, после чего окажется законсервированным.

«Складывается впечатление, что «обреченные черви» стали чем-то вроде авторского стиля вирусописателя, местонахождение которого, к сожалению, пока не раскрыто, — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Можно предположить, что следующими в ряду этой Neverending Story будут черви, работающие до 16, 23, 30 июня и т.д.»

Более подробная информация о сетевом семействе червей Sobig доступна в Вирусной Энциклопедии:

  • I-Worm.Sobig
  • I-Worm.Sobig.b aka I-Worm.Palyh aka Mankx
  • I-Worm.Sobig.c
  • Возвращение червя Sobig

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике