Sober (червь)

У этого термина существуют и другие значения, см. Sober.

Sober — компьютерный вирус, сетевой червь, обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды^[1]. Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.

Sober
Полное название (Касперский)	Email-Worm.Win32.Sober.a
Тип	Сетевой червь
Год появления	октябрь 2003 года
Описание Symantec
Описание Securelist

Вариации червя и их различия

• Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat, .com, .exe, .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре. Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP, может использоваться случайное название темы и вложения^[2].

В теле червя также содержится текст:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe

Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.

• Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa, EMule и eDonkey2000. Теперь для вложений может использоваться расширение .cmd^[3].

• Sober.e при скачивании автоматически открывает Microsoft Paint^[4].

• Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма^[5].

• Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов^[6].

• Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a^[7].

• Sober.n при скачивании создаёт определённый файл и открывает его в блокноте^[8].

• Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов^[9][10].

• Sober.q, в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p^[9][11].

• Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка^[12].

• Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов^[13].

• Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой для вирусных атак. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк^[14].

• Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии^[15].

См. также

• История компьютерных вирусов
• Asprox
• Mydoom
• Sobig

Примечания

1. Security Firms Warn of Looming Sober Worm Threat  (неопр.). TechNewsWorld. Дата обращения: 18 сентября 2021.
2. Архивированная копия  (неопр.). Дата обращения: 3 марта 2006. Архивировано 7 ноября 2007 года.
3. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 7 января 2006 года.
4. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
5. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 6 ноября 2005 года.
6. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 1 ноября 2005 года.
7. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2005 года.
8. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 22 ноября 2005 года.
9. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
10. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
11. E-mail worm throws up hate spam  (неопр.). BBC News. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2008 года.
12. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 11 декабря 2005 года.
13. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
14. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
15. Архивированная копия  (неопр.). Дата обращения: 18 сентября 2021. Архивировано 18 марта 2006 года.