کرمی در پوست بسته امنیتی مایکروسافت

۸ مارس – ۱۸ اسفند

آخرین نسخه از کرم اینترنتی Sober که از طریق ایمیل منتشر می شود خود را به جای یک بسته نرم افزاری امنیتی مایکروسافت که برای مقابله با ویروس MyDoom ارائه شده است معرفی می کند.

Sober.D همانند نسخه های قبلی این کرم از سرور SMTP خود استفاده می کند و کپی هایی از این کرم را به نشانی های موجود بر روی سیستم قربانی ارسال می کند. اما علاوه بر این اخطارها و پیغامهای خطایی را نیز نمایش می دهد که به ظاهر از طرف مایکروسافت هستند و از این طریق کاربران را گمراه می کند.

گراهام کلولی –مشاور ارشد شرکت ضدویروس Sophos – درباره این کرم چنین می گوید: این کرم در ایمیلی که به ظاهر یک بسته امنیتی نرم افزاری برای مقابله با MyDoom را ارائه کرده است  وارد صندوق پستی کاربران می شود. مردم با دیدن یک بسته امنیتی از مایکروسافت به آن ایمیل اعتماد می کنند و بر روی فایل الحاقی آن کلیک می کنند.

بنابر گزارش شرکت F-Secure ,این کرم اینترنتی به شکل یک فایل اجرایی یا یک فایل فشرده شده (با فرمت Zip) که با کلمه عبور محافظت می شود, منتشر می شود. زمانی که فرد روی فایل کلیک کند Sober.D به بررسی آن کامپیوتر می پردازد. اگر کامپیوتر تابحال آلوده نشده باشد پیغام      "This patch has been successfully installed." نمایش داده می شود . درصورتی که کامپیوتر قربانی پیش از این به Sober.D آلوده شده باشد پیغام "This patch does not need to be installed on this system." نمایش داده خواهد شد.

بد نیست بدانید که این کرم درصورت تشخیص ملیت گیرنده ایمیل را به زبان وی برایش ارسال می کند. اگر آدرس ایمیل گیرنده دارای یکی از پسوندهای "de", "ch" , "at" , "li"  , "nl" یا "be"  باشد ایمیل به زبان آلمانی و با موضوع  "Microsoft Alarm: Bitte Lesen."  ارسال می شود. در غیر اینصورت ایمیلی به زبان انگلیسی و با موضوع          "Microsoft Alert: Please Read!"  منتشر   می شود.

این اولین باری نیست که یک ویروس خود را به جای بسته بروز رسانی مایکروسافت معرفی می کند. درماه ژانویه اسب تروای Xombe نیز خود را به شکل یک بسته         نرم افزاری مهم برای ویندوز XP معرفی می کرد. مایکروسافت همیشه اعلام کرده است که بسته های نرم افزاری امنیتی را برای کاربران ایمیل نمی کند و کاربران باید این ایمیلها را نادیده بگیرند.