Email-Worm.Win32.Sober.p

Email-Worm.Win32.Sober.p Jest to robak rozprzestrzeniaj膮cy si臋 przez Internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE napisanego w j臋zyku programowania Visual Basic o rozmiarze oko艂o 53 KB (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 185 KB). Wysy艂ane przez szkodnika wiadomo艣ci mog膮 by膰 zapisane w j臋zyku angielskim lub niemieckim.

Instalacja

Po uruchomieniu robak wy艣wietla sfa艂szowany komunikat o b艂臋dzie:

CRC not complete

Podczas instalacji robak kopiuje si臋 do nast臋puj膮cych lokalizacji:

%Windir%Connection WizardStatuscsrss.exe 
%Windir%Connection WizardStatusservices.exe 
%Windir%Connection WizardStatussmss.exe 

oraz

%Windir%Connection WizardStatuspacked1.sbr 
%Windir%Connection WizardStatuspacked2.sbr 
%Windir%Connection WizardStatuspacked3.sbr

Szkodnik tworzy tak偶e pliki s艂u偶膮ce do przechowywania adres贸w e-mail znalezionych na zainfekowanym komputerze:

%Windir%Connection WizardStatussacri1.ggg 
%Windir%Connection WizardStatussacri2.ggg 
%Windir%Connection WizardStatussacri3.ggg 
%Windir%Connection WizardStatusvoner1.von 
%Windir%Connection WizardStatusvoner2.von 
%Windir%Connection WizardStatusvoner3.von 

Robak tworzy tak偶e nast臋puj膮ce pliki:

%Windir%Connection WizardStatusfastso.ber 
%System%adcmmmmq.hjg 
%System%langeinf.lin 
%System%
onrunso.ber 
%System%seppelmx.smx 
%System%xcvfpokd.tqa 

Robak tworzy nast臋puj膮ce wpisy w rejestrze systemowym, co zapewnia mu uruchamianie wraz z ka偶dym startem systemu operacyjnego:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"WinStart" = "%Windows%Connection WizardStatusservices.exe"

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"_WinStart" = "%Windows%Connection WizardStatusservices.exe"

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane s膮 z systemowej ksi膮偶ki adresowej oraz z plik贸w posiadaj膮cych nast臋puj膮ce rozszerzenia:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Szkodnik nie wysy艂a w艂asnych kopii pod adresy zawieraj膮ce nast臋puj膮ce teksty:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
#NAME?

W celu wysy艂ania wiadomo艣ci robak nawi膮zuje bezpo艣rednie po艂膮czenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomo艣ci e-mail

  • Temat (wybierany z poni偶szych mo偶liwo艣ci):
    FwD: Glueckwunsch: Ihr WM Ticket
    FwD: Ich bin's, was zum lachen ;)
    FwD: Ihr Passwort
    FwD: Ihre E-Mail wurde verweigert
    FwD: WM Ticket Verlosung
    FwD: WM-Ticket-Auslosung
    Re: mailing error
    Re: Registration Confirmation
    Re: Your email was blocked
    Re: Your Password
    
  • Tre艣膰 (wybierana z poni偶szych mo偶liwo艣ci):
    Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
    http:/ /www.[random domain]
    *-* MailTo: PasswordHelp
    
    Diese E-Mail wurde automatisch erzeugt
    Mehr Information finden Sie unter http:/ /www.[random domain]
    Folgende Fehler sind aufgetreten:
    Fehler konnte nicht Explicit ermittelt werden
    Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten
    gezippt & angehaengt werden.
    Wir bitten Sie, dieses zu beruecksichtigen.
    Auto ReMailer#
    
    Nun sieh dir das mal an
    Was ein Ferkel ....
    
    Herzlichen Glueckwunsch,
    beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006
    in Deutschland sind Sie
    dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
    
    St. Rainer Gellhaus
    --- Pressesprecher Jens Grittner und Gerd Graus
    --- FIFA Fussball-Weltmeisterschaft 2006
    --- Organisationskomitee Deutschland
    --- Tel. 069 / 2006 - 2600
    --- Jens.Grittner@ok2006.de
    --- Gerd.Graus@ok2006.de
    
    Account and Password Information are attached!
    Visit: http:/ /www.[random domain]
    
    This is an automatically generated E-Mail Delivery Status Notification.
    Mail-Header, Mail-Body and Error Description are attached
    
  • Podpis (wybierany z poni偶szych mo偶liwo艣ci):
    AntiVirus:  Kein Virus gefunden 
    AntiVirus: No Virus found 
    AntiVirus-System:  Kein Virus erkannt 
    Attachment-Scanner: Status OK 
    Mail-Scanner:  Es wurde kein Virus festgestellt 
    Server-AntiVirus: No Virus (Clean) http://www.[random domain]
    WebSite:  http:/ /www.[random domain]
    
  • Nazwa za艂膮cznika (wybierana z poni偶szych mo偶liwo艣ci):
    PassWort-Info.zip 
    account_info.zip 
    account_info-text.zip
    autoemail-text.zip 
    error-mail_info.zip 
    Fifa_Info-Text.zip
    free_PassWort-Info.zip
    LOL.zip
    mail_info.zip
    okTicket-info.zip
    our_secret.zip
    

    W32/Sober.gen@MM (McAfee),   BACKDOOR.Trojan (Doctor Web)