Впервые этот вирус был обнаружен еще 9 января, однако в последнее время темпы его распространения растут. Это заставило борцов с вирусами несколько повысить рейтинг опасности Sobig. Например, финская компания F-Secure присвоила вирусу второй класс опасности, что уже не исключает возможности крупных региональных эпидемий. К этому же классу F-Secure относит такие вирусы как Klez и Mylife.

Технически новый вирус достаточно прост. В характеристике червя, данной "Лабораторией Касперского", указывается, что зараженное письмо приходит всегда с одного и того же адреса big@boss.com. Вариантов темы письма с вирусом всего четыре: Re: Movies, Re: Sample, Re: Document, Re: Here is that sample. Одно из четырех имен (Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif или Sample.pif) носит и зараженный файл. Для активизации вируса необходимо, чтобы пользователь самостоятельно открыл вложение. Стоит отметить, что другие распространенные вирусы используют значительно более сложные алгоритмы для выбора адреса отправителя, темы и имени файла.

После этого червь копирует себя с именем winmgm32.exe в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу, а адреса для рассылки ищет в файлах с расширениями .wab, .dbx, .htm, .html, .eml и .txt. Кроме этого, при активизации червь пытается установить на компьютер программу, дающую автору вируса доступ к зараженному компьютеру. I-Worm.Sobig способен распространяться и по локальной сети, для чего он помещает свои копии на все доступные компьютеры, в папку Windows\All Users\Start Menu\Programs\StartUp или Documents and Settings\All Users\Start Menu\Programs\Startup.

Поделиться
Комментарии