Uwaga na fałszywego patcha!

W Sieci pojawiła się nowa mutacja groźnego robaka pocztowego Sober - Sober.D. Tym razem "insekt" podszywa się pod uaktualnienie do systemów operacyjnych Microsoftu, które ma usuwać z nich... robaka MyDoom.

Jak to tej pory eksperci zidentyfikowali dwie wersje robaka - różnią się one tym, że pierwsza z nich rozprzestrzenia się w postaci załącznika do e-maila napisanego w j. niemieckim, zaś druga - w angielskim.

Robak zwykle pojawia sie w postaci załącznika do wiadomości zatytułowanej "Microsoft Alert: Please Read!" lub "Microsoft Alarm: Bitte Lesen!" - plik taki z reguły nosi jedną z poniższych nazw: "Patch" "MS-Security" lub "UpDate" (jego rozszerzenie to .zip lub .exe). Po uruchomieniu takiego pliku uaktywnia się Sober.D - robak skanuje dyski twarde w poszukiwaniu adresów e-mail i wysyła pod nie swoje kopie. Jeśli natrafi na adres, w którym domena będzie miała rozszerzenie .de, wiadomość sformuowana będzie w j. niemieckim - w przypadku wszystkich innych domen - w angielskim.

Co ciekawe, podczas uruchamiania się, robak wyświetla komunikaty, sugerujące, że rzeczywiście jest on patchem - po zainstalowaniu w systemie swojej kopii wyświetli komunikat "Patch has been successfully installed", jeśli zaś podczas procesu instalacji Sober.D wykryje, że system jest już zarażony, wyświetli komunikat "Patch does not need to be installed on this system".

Większość producentów oprogramowania antywirusowego udostępniła już uaktualnienia do swoich produktów, które umożliwiają im wykrywanie i usuwanie z systemu robaka Sober.D. Oświadczenie w tej sprawie wydał również Microsoft, po raz wtóry przypominając, że firma nigdy nie dystrybuuje uaktualnień do swojego oprogramowania w postaci załączników do wiadomości e-mail (więcej na ten temat: http://www.microsoft.com/security/antivirus/authenticate_mail.asp ).


Zobacz również