A empresa de segurança McAfee alerta para uma nova versão do vírus Sober descoberta no início da noite de ontem, dia 5. O W32/Sober.r@MM é um vírus de propagação em massa que contém seu próprio mecanismo SMTP para a criação e envio automático de mensagens eletrônicas.
O novo vírus, que já é classificado pela McAfee como risco médio, chega por um e-mail em inglês ou alemão, dependendo da versão do Windows. A mensagem infectada contém o arquivo de uma suposta fotografia em formato ZIP. Quando o mesmo é descompactado e o arquivo com extensão .PIF é executado manualmente, o usuário é infectado pelo vírus.
A partir daí, a praga se copia para um subdiretório recém-criado no diretório Windows e cria chaves de registro para que tenha seus códigos carregados no momento em que o sistema é iniciado. Adicionalmente, o vírus lança arquivos, de 0 KB de tamanho, no diretório WindowsSystem32.
Como outras das muitas variantes do Sober, a nova versão utiliza diferentes e aleatórias mensagens de e-mail para se propagar. A McAfee já possui vacina contra a nova praga.
Anexos das mensagens infectadas pelo novo vírus:
KlassenFoto.zip
pword_change.zip
Dentro de cada arquivo ZIP está presente o arquivo nomeado:
PW_Klass.Pic.packed-bitmap.exe.
O usuário infectado pode ter a seguinte mensagem exibida na tela:
Error in packet file!
CRC Header must be $7ff8
Mais informações sobre a nova variante do vírus Sober, bem como a vacina para a mesma, encontram-se disponíveis em http://vil.nai.com/vil/content/v_136390.htm. Em caso de suspeita de vírus, o usuário pode encaminhar o arquivo compactado com a senha "infected" para virus_research@avertlabs.com ou, se preferir, postá-los no serviço WebImmune da McAfee: www.webimmune.net.
