Sobarの新しい亜種であるSober.pが、ヨーロッパで急速に拡大している
カスペルスキーラブス社は、現在西ヨーロッパで大流行している、Email-Worm.Win32.Soberの新しい亜種であるSober.pを検出した。
カスペルスキーラブス社は、Soberの新しい亜種を5/2に検出した。ISPからのデータから分析した結果、このワームは、現在のメール通信の中で最も多く検出されている有害プログラムである。Sober.pは、西ヨーロッパ(オランダ、ドイツ、ハンガリーや他の国々)で大きな流行となり、今までの記録を破る活動を見せている。しかし、カスペルスキーラブス社が調査した中では、ロシアやアジアから受信したSober.pはかなり少ないものだった。
Sober.pは、.zipファイルとしてメールに添付され、繁殖している。この添付ファイルにはワームのコピーがパックされたもの(自分では開けない)が含まれており、そのサイズは約53KBである。メールの件名および本文は、プログラム内に準備されたリストからランダムに選択される。題名、本文ともドイツ語で記述されている。
このワームは、ユーザーが添付ファイルを実行したタイミングで活動を開始する。添付ファイルを開くと、エラーメッセージ(CRC not complete)が表示さる。システムディレクトリにプログラム自身のコピーを行い、システムサービスのプログラムに似たファイル名で保存される。また、他のファイルとしてもコピーされ、システムレジストリに登録される。レジストリに登録されているので、コンピューターが起動される度に、プログラムは実行される。
プログラムは、感染したPC内のアドレス帳、テキストファイルやパワーポイントファイル、データベースを含んだファイルを検索し、メールアドレスを取得する。そして、感染したPCから取得したアドレスに向けて、ワーム自身を添付したメールで送信する。
カスペルスキーのウイルス定義データベースには、すでにEmail-Worm.Win32.Sober.pの検出情報が登録されている。このワームについての詳細は、カスペルスキーウイルス百科事典をご覧下さい。
