Na přelomu října a listopadu se objevilo několik nových virů, kterým se překvapivě úspěšně dařilo. 27. října jsme zaznamenali první výskyt viru Win32:Sober.

Jedná se o emailového červa, vytvořeného v programovacím jazyce Visual Basic a zabaleného modifikovanou verzí programu UPX. Infikované zprávy mohou obsahovat velké množství různých předmětů buď v angličtině nebo v němčině. Některé zprávy například obviňují adresáta, že někomu poslal virus, jiné naopak varují před novými viry, například novou variantou nechvalně známého viru Sobig. Některé dokonce předstírají, že se jedná o aktualizaci antivirového programu proti viru ODIN, který samozřejmě neexistuje. Také text zprávy je proměnný a často docela dlouhý. Připojený soubor má jedno ze třiceti sedmi možných jmen, která vždy končí příponou exe, bat, pif, com či scr. Tato přípona ale bohužel často není v systému Windows zobrazena.

Win32:Sober-A obsahuje vlastní rutinu SMTP pro odesílání infikovaných zpráv. Adresy pro tyto zprávy jsou vyhledávány v mnoha souborech na lokálním disku napadeného počítače. Červ instaluje sebe sama do systémového adresáře pod jménem SIMILARE.EXE. Další dvě kopie červa jsou uloženy na disk pod zcela náhodnými jmény. Červ obsahuje speciální mechanismus, který ho má chránit před odstraněním z paměti: běží ve dvou procesech, a jakmile je jeden z nich ukončen, druhý ho velmi rychle opět restartuje.

Jen o několik dní později – v poslední říjnový den - se objevila nová varianta viru MiMail, nazvaná Win32:MiMail-C (Původní MiMail-A se objevil na začátku srpna). Tento červ používá narozdíl od viru Sober fixní předmět i tělo zprávy (kromě několika náhodných znaků). Předmět zprávy zní: Re[2]: our private photos a anglický text hovoří o povedených fotografiích, pořízených na pláži a o domluvené schůzce na dnešní večer. Ke zprávě je připojen soubor photos.zip, který obsahuje program photos.jpg.exe s virem. Worm používá v odeslaných zprávách falešnou adresu odesílatele, infikované zprávy přicházejí vždy z adresy james@<doména_příjemce>. Například já jej vždy dostávám z adresy james@asw.cz. Je zcela jasné, že uživatel tedy musí napřed ZIP archív rozbalit, aby mohl virus vůbec spustit, přesto se ale virus rychle a úspěšně šíří. Proč tomu tak je? Sociální inženýrství autora viru v tomto případě opět funguje: představte si, že „omylem“ dostanete mail, který jakýsi Váš kolega píše nějaké dívce a posílá jí „lechtivé“ fotografie z pláže. Podíváte se na ně? Jak je vidět, tak spousta lidí určitě ano.

Během několika následujících dní se objevila řada dalších variant tohoto viru, které jsou velmi podobné a používají jiné texty. Předmět zprávy byl změněn na Re[2]: don't be late! a text mluví o dnešní domluvené schůzce. Vše další je prý napsáno ve vyžádaném souboru. Ten se jmenuje readnow.zip a obsahuje program readnow.doc.scr. I zde musí uživatel napřed archív rozbalit, aby mohl být virus spuštěn. Další změnou je to, že místo Jamese zprávu tentokrát odesílá John – opět z domény příjemce viru.