В интернете обнаружена новая версия почтового червя Email-Worm.Win32.Sober — Email-Worm.Win32.Sober.p. Первое появление вредоносной программы в интернете было зафиксировано 2 мая. На данный момент этот червь является наиболее часто встречающейся вредоносной программой в почтовом трафике. Sober.p уже побил все возможные рекорды своих «предшественников» — других почтовых червей — по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте Сети (Голландия, Германия, Венгрия и другие страны). От азиатских и российских пользователей, напротив, пока поступает минимум жалоб на заражение данной версией червя Sober.
Sober.p распространяется через электронную почту в виде вложений и представляет собой самораспаковывающийся архив размером около 53 Кб. Текст письма преимущественно написан на немецком языке, а наименование сообщения и зараженного архивного файла в формате ZIP выбирается произвольно из определенного списка.
Червь активирует себя при запуске зараженного вложения пользователем. После запуска на экране появляется сообщение архиватора об ошибке в CRC (CRC not complete). Работающий червь копирует себя в системный каталог под именами сервисных системных программ и создает собственные копии в нескольких папках, а также регистрируется в ключе системного реестра. После копирования червь осуществляет поиск адресов для проведения рассылки. Поиск производится как в адресных книгах, так и в файлах, содержащих различные виды данных — текстовые файлы, презентации Microsoft Power Point, базы данных. Когда поиск завершен, червь рассылает себя по всем найденным на зараженном компьютере адресам. Обновления антивирусных баз данных для борьбы с Sober.p уже выпущены.
В середине апреля по интернету быстро распространялась вредоносная программа Sober.M (или Sober.N, согласно другой классификации). Только 19 апреля за несколько часов территории Великобритании разосланы почти 90000 копий писем, содержащих вредоносные вложения. В этой версии вредоносной программы вирус прятался внутри архивного файла в формате ZIP с названием «your_text».
