Антивирусная лаборатория Panda Software зафиксировала появление новой версии червя Sober — Sober.Y, которая распространяется, используя методы социальной инженерии. Этот червь был перехвачен технологией Panda Software TruPrevent, для чего не потребовалось предварительной идентификации, поэтому она была в состоянии защитить своих пользователей с самого начала атаки.
Для распространения червь использует два вида писем: первое — письмо на английском языке с темой “Your new password” (Ваш новый пароль), которое пытается заставить пользователей поверить в то, что это уведомление об изменении пароля, содержащее во вложенном файле данные для ознакомления — pword_change.zip. Второе – письмо на немецком, якобы содержащее фотографии старых школьных друзей в файле KlassenFoto.zip. Оба сжатых файла содержат исполняемый файл PW_Klass.Pic.packed-bitmap.exe, который является копией самого червя.
Если этот файл запущен, выводится ложное сообщение об ошибке CRC, при этом вредоносные действия продолжаются. Червь ищет электронные адреса на зараженном компьютере в файлах с определенными расширениями и, используя собственный SMTP-механизм, рассылает себя по ним. В случае, если адрес оканчивается на .de (Германия), .ch (Швейцария), .at (Австрия) или .li (Лихтенштейн), он отправляет немецкую версию письма.
В связи с резким увеличением числа инцидентов, вызванных новым Sober.Y, Panda Software предоставляет пользователям бесплатную утилиту PQRemove, которая обнаруживает и уничтожает этого червя с любого зараженного компьютера. Ее можно скачать по этому адресу.
Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software.