350 обликов пяти червей Sober // 19 Января 2013

По данным лаборатории PandaLabs, к настоящему моменту авторы червей Sober использовали около 350 различных форматов сжатия для того, чтобы обмануть традиционные средства антивирусной защиты.

Лаборатория PandaLabs зафиксировала появление двух новых червей Sober (AF и AG) в дополнение к версиям AC, AD и AE. Однако авторы этих пяти массовo рассылаемых червей не остановились на обычной рассылке - они использовали сотни различных форматов сжатия (350 по данным PandaLabs) и рассылают их вручную, как спам. Несмотря на то, что ни один из этих вредоносных кодов не вызвал значительного количества инцидентов, тот факт, что существует такое множество зараженных файлов, является уже достаточным поводом для беспокойства.

По словам Луиса Корронса, директора PandaLabs: "…новых червей Sober нельзя считать особенно опасными ввиду их каких-либо специфических особенностей. Самое худшее в этой ситуации – их массовая рассылка в таком количестве различных форматов сжатия. Несмотря на то, что черви одни и те же, традиционным антивирусам требуется отдельная вакцина для каждого формата сжатия. Это, несомненно, значительно усложняет задачу провайдерам безопасности, поскольку им требуется тратить время на сбор всех циркулирующих вариантов и создание соответствующих вакцин, а затем еще включить новые "лекарства" в файл вирусных сигнатур каждого клиента".

Цель авторов этих червей до сих пор не ясна: "Несмотря на то, что мы зафиксировали сотни сжатых файлов, содержащих одного из новых червей Sober, вирус не вызвал массовых инфекций. Это больше напоминает испытание, направленное на выяснение того, какой из червей будет меньше обнаруживаться системами безопасности. На настоящий момент циркулирует огромное количество зараженных писем, и поэтому пользователям следует быть предельно осторожными с сообщениями, полученными от неизвестных авторов", - добавляет Луис Корронс.

Новые версии червя очень похожи на своих предшественников. Когда пользователь запускает зараженный файл, Sober автоматически отправляет себя на все электронные адреса, которые он находит в хранимых на компьютере файлах. Отправляемые им сообщения имеют различные имена, их отличительной особенностью является изменение языка сообщения в зависимости от суффикса адреса, на которое отправляется сообщение.

Источник: По материалам пресс-релиза