У этого термина существуют и другие значения, см.
Sober.
Sober — компьютерный вирус, сетевой червь, обнаруженный в сети в октябре 2003 года и получивший наибольшую известность в 2005, по крайней мере одна его версия была сделана с целью пропаганды[1]. Распространяется по электронной почте, все его версии были написаны на Visual Basic и рассылались в упакованном UPX виде.
Вариации червя и их различия
- Sober.a является самой первой версией червя, рассылает по электронной почте письма на английском и немецком языках. Вложения в письмах могут иметь расширения .bat, .com, .exe, .pif и .scr. При скачивании вложения, а соответственно и червя, тот выводит на экран сообщение об ошибке выполнения файла, одновременно с этим создавая три свои копии в каталоге Windows и определённые записи в реестре. Затем червь ищет адреса электронной почты в файлах с указанными расширениями и рассылает себя по ним используя протокол SMTP, может использоваться случайное название темы и вложения[2].
В теле червя также содержится текст:
Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe
Следующие версии Sober будут создавать другие записи в реестре, копировать себя под другими названиями, искать адреса электронной почте в файлах с другими расширениями и использовать другие названия тем и вложений в письмах.
- Sober.c помимо электронной почты распространяется по сетям файлообмена Kazaa, EMule и eDonkey2000. Теперь для вложений может использоваться расширение .cmd[3].
- Sober.f использует только расширения .pif и .zip для вложений. При скачивании открывает блокнот с исходным текстом полученного письма[5].
- Sober.g при скачивании выводит сообщение об ошибке, которое предлагает открыть скачанный файл с помощью блокнот. При нажатии на «yes» блокнот открывается с произвольным набором символов. Может также запускать на заражённом устройстве файлы с определённых вредоносных сайтов[6].
- Sober.j игнорирует электронные адреса, содержащие определённые строки в названии. Для вложений используются те же расширения, что и у версии .a[7].
- Sober.n при скачивании создаёт определённый файл и открывает его в блокноте[8].
- Sober.p помимо поиска электронных адресов в файлах ищет их в адресных книгах MS Windows. Способен загружать файлы с определённых вредоносных веб-сайтов[9][10].
- Sober.q, в отличие от всех предыдущих и последующих версий, не умеет распространяться по электронной почте. Она попадает на устройства через Sober.p, который загружает файлы с определённых вредоносных сайтов. Sober.q рассылает письма, содержащие ссылки на немецкие сайты правого толка, предварительно заражённые Sober.p[9][11].
- Sober.s при скачивании сразу же выдаёт ошибку о том, что в коде скачанного файла есть ошибка[12].
- Начиная с Sober.u все версии не используют фильтрацию адресов электронной почты при распространении, а также создают в корневом каталоге папку с файлом concon.www для хранения найденных на компьютере адресов[13].
- Sober.v пытается остановить выполнение процесса MRT.EXE, что делает систему более уязвимой для вирусных атак. Он рассылает письма на немецком языке, если адрес получателя содержит одну из указанных строк[14].
- Sober.y помимо MRT.EXE пытается остановить выполнение других процессов, содержащих определённые строки в названии[15].
См. также
Примечания