Моя колонка превращается просто-таки в вирусный бюллетень. А што делать? Сегодня за утро робот успел уничтожить в моем корпоративном email-ящике 85 (по буквам - восемьдесят пять) писем с вирусом W32/Sobig.f@MM (очередной вариант W32/Sobig). Такой атаки я даже и не припомню. На сайте Касперского пока - ни звука, ни шевеления. Западные источники уже отозвались, смотрите ссылку ниже. Зараза распространяется через почту, рассылает себя сама, пользуясь встроенным SMTP-движком. Хорошо хоть, что это .pif-файл, и для активации вируса нужно запустить аттач в пришедшем письме. Уж даже и не знаю, кому приходит в голову запускать аттачик с .pif-расширением, однако, судя по количеству входящей зараженной почты, таких уникумов не так мало, как мне казалось.
W32/Sobig.f@MM пишет свое тело в C:\WINNT\WINPPR32.EXE , а конфигурационный файл сбрасывает в %Windir%:
C:\WINNT\WINSTT32.DAT
Ну и, конечно, прописывает себя в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc.
Точный список сабжей и названий аттачей, используемых вирусом, смотрите по ссылке.
(ссылка - Network Associates Inc.: W32/Sobig.f@MM )