Архив

Возвращение червя Sobig

«Лаборатория Касперского» сообщает об обнаружении новой разновидности сетевого червя Sobig. Учитывая широкое распространение предыдущих версий этой вредоносной программы, антивирусные эксперты компании прогнозируют возможное возникновение очередной крупномасштабной эпидемии. На данный момент уже зарегистрировано несколько случаев заражений.

С момента появления червя в середине января 2003 г. было обнаружено всего три версии червя, имеющие индексы «A», «B» и «C». Несмотря на это, уже в майской двадцатке самых распространенных вредоносных программ Sobig уверенно занял первое место, опередив печально известных Klez и Lentin (aka Yaha).

Напомним, что Sobig распространяется по электронной почте в виде вложенных файлов и по ресурсам локальной сети, создавая свои копии на открытых дисках. Для почтовой рассылки он сканирует файлы зараженного компьютера, находит в них адреса и незаметно посылает на них свои копии. Чтобы заставить пользователя запустить свой файл-носитель червь использует разнообразные методы социального инжиниринга, в частности, маскируясь под письма от технической поддержки Microsoft.

Среди побочных действий Sobig необходимо отметить возможность загрузки и установки с удаленных web-серверов на зараженный компьютер обновленных версий червя или внедрять в систему программы-шпионы.

Sobig.b (также известный как Palyh) по сути «вдохнул» вторую жизнь в червя, и именно благодаря ему семейство поднялось на высшую ступень майского рейтинга самых распространенных вредоносных программ. Однако в его коде был заложен временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh, поскольку web-серверы, с которых он скачивает свои обновления, уже закрыты.

Новая версия, Sobig.c, практически не отличается от своих предшественников и имеет ту же самую особенность — червь будет работоспособен только до 8 июня, после чего окажется законсервированным.

«Складывается впечатление, что «обреченные черви» стали чем-то вроде авторского стиля вирусописателя, местонахождение которого, к сожалению, пока не раскрыто, — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Можно предположить, что следующими в ряду этой Neverending Story будут черви, работающие до 16, 23, 30 июня и т.д.»

Более подробная информация о сетевом семействе червей Sobig доступна в Вирусной Энциклопедии:

  • I-Worm.Sobig
  • I-Worm.Sobig.b aka I-Worm.Palyh aka Mankx
  • I-Worm.Sobig.c
  • Возвращение червя Sobig

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    MoonBounce: скрытая угроза в UEFI

    В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

    MosaicRegressor: угроза в недрах UEFI

    Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике