کرمي در پوست بسته امنيتي مايکروسافت

۸ مارس – ۱۸ اسفند

آخرين نسخه از کرم اينترنتي Sober که از طريق ايميل منتشر مي شود خود را به جاي يک بسته نرم افزاري امنيتي مايکروسافت که براي مقابله با ويروس MyDoom ارائه شده است معرفي مي کند.

Sober.D همانند نسخه هاي قبلي اين کرم از سرور SMTP خود استفاده مي کند و کپي هايي از اين کرم را به نشاني هاي موجود بر روي سيستم قرباني ارسال مي کند. اما علاوه بر اين اخطارها و پيغامهاي خطايي را نيز نمايش مي دهد که به ظاهر از طرف مايکروسافت هستند و از اين طريق کاربران را گمراه مي کند.

گراهام کلولي –مشاور ارشد شرکت ضدويروس Sophos – درباره اين کرم چنين مي گويد: اين کرم در ايميلي که به ظاهر يک بسته امنيتي نرم افزاري براي مقابله با MyDoom را ارائه کرده است  وارد صندوق پستي کاربران مي شود. مردم با ديدن يک بسته امنيتي از مايکروسافت به آن ايميل اعتماد مي کنند و بر روي فايل الحاقي آن کليک مي کنند.

بنابر گزارش شرکت F-Secure ,اين کرم اينترنتي به شکل يک فايل اجرايي يا يک فايل فشرده شده (با فرمت Zip) که با کلمه عبور محافظت مي شود, منتشر مي شود. زماني که فرد روي فايل کليک کند Sober.D به بررسي آن کامپيوتر مي پردازد. اگر کامپيوتر تابحال آلوده نشده باشد پيغام      "This patch has been successfully installed." نمايش داده مي شود . درصورتي که کامپيوتر قرباني پيش از اين به Sober.D آلوده شده باشد پيغام "This patch does not need to be installed on this system." نمايش داده خواهد شد.

بد نيست بدانيد که اين کرم درصورت تشخيص مليت گيرنده ايميل را به زبان وي برايش ارسال مي کند. اگر آدرس ايميل گيرنده داراي يکي از پسوندهاي "de", "ch" , "at" , "li"  , "nl" يا "be"  باشد ايميل به زبان آلماني و با موضوع  "Microsoft Alarm: Bitte Lesen."  ارسال مي شود. در غير اينصورت ايميلي به زبان انگليسي و با موضوع          "Microsoft Alert: Please Read!"  منتشر   مي شود.

اين اولين باري نيست که يک ويروس خود را به جاي بسته بروز رساني مايکروسافت معرفي مي کند. درماه ژانويه اسب ترواي Xombe نيز خود را به شکل يک بسته         نرم افزاري مهم براي ويندوز XP معرفي مي کرد. مايکروسافت هميشه اعلام کرده است که بسته هاي نرم افزاري امنيتي را براي کاربران ايميل نمي کند و کاربران بايد اين ايميلها را ناديده بگيرند.