Email-Worm.Win32.Sober.p
Po uruchomieniu robak wy艣wietla sfa艂szowany komunikat o b艂臋dzie:
CRC not complete
Podczas instalacji robak kopiuje si臋 do nast臋puj膮cych lokalizacji:
%Windir%Connection WizardStatuscsrss.exe %Windir%Connection WizardStatusservices.exe %Windir%Connection WizardStatussmss.exe
oraz
%Windir%Connection WizardStatuspacked1.sbr %Windir%Connection WizardStatuspacked2.sbr %Windir%Connection WizardStatuspacked3.sbr
Szkodnik tworzy tak偶e pliki s艂u偶膮ce do przechowywania adres贸w e-mail znalezionych na zainfekowanym komputerze:
%Windir%Connection WizardStatussacri1.ggg %Windir%Connection WizardStatussacri2.ggg %Windir%Connection WizardStatussacri3.ggg %Windir%Connection WizardStatusvoner1.von %Windir%Connection WizardStatusvoner2.von %Windir%Connection WizardStatusvoner3.von
Robak tworzy tak偶e nast臋puj膮ce pliki:
%Windir%Connection WizardStatusfastso.ber %System%adcmmmmq.hjg %System%langeinf.lin %System% onrunso.ber %System%seppelmx.smx %System%xcvfpokd.tqa
Robak tworzy nast臋puj膮ce wpisy w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"WinStart" = "%Windows%Connection WizardStatusservices.exe"
"_WinStart" = "%Windows%Connection WizardStatusservices.exe"
Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:
.dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- icrosoft. info@ ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe support t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname #NAME?
W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.
FwD: Glueckwunsch: Ihr WM Ticket FwD: Ich bin's, was zum lachen ;) FwD: Ihr Passwort FwD: Ihre E-Mail wurde verweigert FwD: WM Ticket Verlosung FwD: WM-Ticket-Auslosung Re: mailing error Re: Registration Confirmation Re: Your email was blocked Re: Your Password
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. http:/ /www.[random domain] *-* MailTo: PasswordHelp Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter http:/ /www.[random domain] Folgende Fehler sind aufgetreten: Fehler konnte nicht Explicit ermittelt werden Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen. Auto ReMailer# Nun sieh dir das mal an Was ein Ferkel .... Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. St. Rainer Gellhaus --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de Account and Password Information are attached! Visit: http:/ /www.[random domain] This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached
AntiVirus: Kein Virus gefunden AntiVirus: No Virus found AntiVirus-System: Kein Virus erkannt Attachment-Scanner: Status OK Mail-Scanner: Es wurde kein Virus festgestellt Server-AntiVirus: No Virus (Clean) http://www.[random domain] WebSite: http:/ /www.[random domain]
PassWort-Info.zip account_info.zip account_info-text.zip autoemail-text.zip error-mail_info.zip Fifa_Info-Text.zip free_PassWort-Info.zip LOL.zip mail_info.zip okTicket-info.zip our_secret.zip