В настоящем отчете рассмотрены пять новых версий червя Sober -AC, AD, AE, AF и AG, появившихся на этой неделе. Отличительной чертой новых версий является то, что автор распространяет их во множестве различных форматов сжатия, с целью помешать традиционным антивирусам (которым требуется отдельная вакцина для каждого формата) обнаружить их. Версии Sober AC, AD, AE, AF и AG очень похожи друг на друга.
Их общие свойства:
— Они распространяются по электронной почте в сообщении, содержащем сжатый файл.
— Сообщение приходит на немецком языке, если электронный адрес получателя оканчивается на: de (Германия), ch (Швейцария), at (Австрия) или li (Лихтенштейн). Если адрес заканчивается иначе, то текст сообщения английский.
— Вложенный в сообщение файл является копией червя. Поэтому, при запуске файла, на компьютер устанавливается соответствующая версия Sober, которая выполняет на нем ряд действий, таких как: создание файла SERVICES.EXE – копии червя, в папке CONNECTIONSTATUSMICROSOFT директории Windows; создание нескольких записей реестра Windows для обеспечения запуска червя при каждой загрузке системы.
