«Лаб.Касперского»: обнаружен новый интернет-червь "Sober.q"

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя "Sober.q". Вредоносная программа распространяется при помощи предшествующей версии червя, "Sober.p", содержащей функцию загрузки файлов с нескольких интернет-сайтов. Таким образом, новый червь поражает лишь те компьютеры, которые уже заражены "Sober.p". "Sober.q" представляет собой модификацию исходного кода почтового червя Email-Worm.Win32.Sober, однако не содержит функции распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки радикально-политического характера.Будучи запущенным и активизированным на атакуемом компьютере своим предшественником, "Sober.q" копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра и ключе, отвечающем за запуск исполняемых файлов. Таким образом, червь получает управление при каждом запуске любого исполняемого файла в зараженной системе. Помимо этого, он создает несколько вспомогательных файлов с разными именами в системном каталоге Windows. Затем "Sober.q" сканирует файловую систему пораженного компьютера и записывает в специальные файлы все найденные адреса электронной почты, за исключением принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения. Далее вредоносная программа производит ряд действий, не вписывающихся в стандартный алгоритм действий червей семейства Sober. Вирус создает файл под названием %system%\Spammer.ReadMe и следующим текстом на немецком языке: . Затем вредоносная программа рассылает по всем найденным адресам, относящимся к доменным зонам de, ch, at, li и gmx письма с текстами радикально-политического толка на немецком языке, отправляя по всем прочим адресам англоязычные послания. В теле червя содержится несколько десятков различных вариантов текстов для рассылок такого рода. Наконец, аналогично предыдущим вариантам червя, "Sober.q" путем обращения к нескольким NTP-серверам регулярно проверяет системное время. В случае, если дата соответствует 11 мая 2005 года либо является более поздней, вредоносная программа пытается загрузить произвольные файлы с нескольких интернет-ресурсов. Также, "Sober.q" пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки:microsoftanti, gcas, gcip, giantanti, inetupd, nod32kui, nod32, fxsob, s-t-i-n-g, hijack, sober.Процедуры защиты от "Sober.q" уже добавлены в базу данных Антивируса Касперского(r). Более подробная информация о данной вредоносной программе доступна в Вирусной Энциклопедии Касперского.