"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового опасного интернет-червя "Sober.i" (sober, англ. – трезвый). Вредоносная программа распространяется через интернет в виде вложений в зараженные электронные письма. Помимо функций, стандартных для данного типа вредоносных программ, деструктивный эффект воздействия "Sober.i" заключается в содержащемся в теле червя механизме удаленной загрузки любых файлов, запускаемых по желанию злоумышленника. В настоящее время антивирусные эксперты "Лаборатории Касперского" получают большое число сообщений об обнаружении червя от пользователей западноевропейского региона.

"Sober.i" использует обычную для сетевых червей процедуру запуска: активизация червя производится при самостоятельном открытии пользователем файла, приложенного к зараженному письму. После запуска червь выводит на экран ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Затем он создает в системном каталоге Windows два файла с произвольным именем, формируемым из встроенного в тело червя списка. Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий по электронной почте.

Затем "Sober.i" копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Помимо этого, он создает несколько дополнительных копий и вспомогательных файлов с разными именами в системном каталоге Windows. Для своего размножения "Sober.i" сканирует файловую систему пораженного компьютера в поисках адресов электронной почты и рассылает себя по обнаруженному списку адресатов. Для отправки почты червь использует собственный SMTP-сервер.

Зараженные "Sober.i" письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые случайным образом составляются из нескольких частей. Имя вложения также может варьироваться с различными расширениями: "pif","zip", "bat".