Sober (червь)

Sober
Sober
Полное название (Касперский)	Email-Worm.Win32.Sober.a
Тип	Сетевой червь
Год появления	октябрь 2003 года
	Описание Symantec
	Описание Securelist

Sober — компьютерный вирус, сетевой червь, обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды^[1]. Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.

Вариации червя и их различия

Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat, .com, .exe, .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре. Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP, может использоваться случайное название темы и вложения^[2].

В теле червя также содержится текст:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe

Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.

Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa, EMule и eDonkey2000. Теперь для вложений может использоваться расширение .cmd^[3].

Sober.e при скачивании автоматически открывает Microsoft Paint^[4].

Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма^[5].

Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов^[6].

Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a^[7].

Sober.n при скачивании создаёт определённый файл и открывает его в блокноте^[8].

Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов^[9]^[10].

Sober.q, в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p^[9]^[11].

Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка^[12].

Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов^[13].

Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой для вирусных атак. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк^[14].

Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии^[15].

См. также

Примечания

↑ Security Firms Warn of Looming Sober Worm Threat (неопр.). TechNewsWorld. Дата обращения: 18 сентября 2021.
↑ Архивированная копия (неопр.). Дата обращения: 3 марта 2006. Архивировано 7 ноября 2007 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 7 января 2006 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 6 ноября 2005 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 1 ноября 2005 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2005 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 22 ноября 2005 года.
↑ ¹ ² Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.
↑ E-mail worm throws up hate spam (неопр.). BBC News. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2008 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 11 декабря 2005 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.
↑ Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 18 марта 2006 года.

[1] Security Firms Warn of Looming Sober Worm Threat (неопр.). TechNewsWorld. Дата обращения: 18 сентября 2021.

[2] Архивированная копия (неопр.). Дата обращения: 3 марта 2006. Архивировано 7 ноября 2007 года.

[3] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 7 января 2006 года.

[4] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.

[5] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 6 ноября 2005 года.

[6] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 1 ноября 2005 года.

[7] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2005 года.

[8] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 22 ноября 2005 года.

[q-9] ¹ ² Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.

[10] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 31 октября 2005 года.

[11] E-mail worm throws up hate spam (неопр.). BBC News. Дата обращения: 18 сентября 2021. Архивировано 23 ноября 2008 года.

[12] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 11 декабря 2005 года.

[13] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.

[14] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 10 июня 2006 года.

[15] Архивированная копия (неопр.). Дата обращения: 18 сентября 2021. Архивировано 18 марта 2006 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

Хакерские атаки 2000-х
Крупнейшие атаки	Операция «Bot Roast» Операция «Red October» Проект «Чанология» Титановый дождь
Группы и сообщества хакеров	Анонимус Подразделение 61398 (НОАК)
Хакеры-одиночки	Дмитрий Скляров
Обнаруженные критические уязвимости	Shatter attack
Компьютерные вирусы	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinowal Bagle Blaster Bredolab Cabir Careto Code Red Code Red II Commwarrior Conficker Cutwail Donbot Festi Fizzer ILOVEYOU Klez Koobface Kraken Mariposa Mega-D Metulji Mocmex Mydoom Mytob Neshta Netsky NetTraveler Nimda Penetrator Pinch Poison Ivy RFID-вирус Rustock Sality Santy Sasser Sober Sobig SpyEye SQL Slammer Srizbi Storm Worm Torpig Virut Vulcanbot Waledac ZeroAccess ZeuS Zobot
1990-е • 2000-е • 2010-е