Nový e-mailový červ Sober se šíří internetem

  • 18
Celosvětovou síť opět čekají nepříjemnosti. Před několika dny se začal šířit červ, který antivirové firmy identifikovaly jako Sober-A. Šíří se elektronickou poštou jako spustitelná příloha a tváří se jako varování před sebou samým.

Z Německa se do internetu šíří nový e-mailový červ Sober. Za několik dní své existence zatím nestačil napáchat velké škody, ovšem někteří odborníci se shodují na tom, že kulminace jeho aktivity teprve přijde.

Sober cestuje prostřednictvím elektronické pošty. Předmět infikované zprávy varuje před novým virem a příloha se vydává za bezpečnostní záplatu. Po jejím spuštění zobrazí hlášení "File Not Complete" a začne se kopírovat do složky operačního systému pod různými jmény. Do systémových registrů vloží příkaz ke spouštění jedné z kopií při každém startu operačního systému. Červ sbírá na počítači e-mailové adresy a rozesílá se dál pomocí vlastního poštovního protokolu.

Červ "mluví" dvěma jazyky: E-maily obsahují anglické nebo německé předměty zpráv i samotné tělo. Zprávy povětšinou varují před novým smyšleným virem Odin. Sober navíc falšuje adresu odesílatele tak, aby infikované maily vypadaly jako seriózní oznámení antivirových společností. Příloha má koncovky BAT, COM, EXE, PIF nebo SCR.

Autor, stejně jako mnoho programátorů před ním, sází na naivitu uživatelů, kteří bez rozmyslu otevřou jakoukoliv přílohu. Jde především o domácí uživatele, neboť lze předpokládat, že podnikové sítě jsou po pohromách, způsobených poslední variantou červa SoBig.F, proti útokům tohoto typu zabezpečené. Administrátoři mnohdy vůbec nepovolují posílat v elektronické poště spustitelné přílohy.

Sober byl poprvé identifikován 24. října. Firma MessageLabs, zabývající se zabezpečením e-mailové komunikace, od víkendu zaznamenala přes 5 500 výskytů. Nejvíce jich připadá na Německo (74 %), následuje Velká Británie (10 %) a Holandsko (6 %).

Aktualizace definicí, schopné Sobera odhalit, jsou pro hlavní antivirové aplikace k dispozici nejpozději od pondělí. Některé antivirové společnosti označují aktivitu červa za nízkou, finská F-Secure jej ovšem zařadila po bok nechvalně známého viru Klez a ocenila druhým nejvyšším stupněm ohrožení. Podle představitelů firem je velmi pravděpodobné, že se v nejbližší době setkáme s novým typem červa SoBig.G, či příbuzným viru Blaster, který bude do počítačů pronikat pomocí poslední známé chyby v systémové službě RPC.

Podrobný popis červa Sober a postup při jeho odstranění nabízejí stránky společnosti Symantec.