Name:Worm/Sober.Y
CME Nummer:681
Entdeckt am:15/11/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:55.390 Bytes
MD5 Prüfsumme:cb73f0c6d0a20e191c21cc47dff1e471
VDF Version:6.32.00.180
Heuristik:Worm/Sober.Gen

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Sober
   •  Kaspersky: Email-Worm.Win32.Sober.y
   •  Sophos: W32/Sober-Z
   •  Grisoft: I-Worm/Sober.CF
   •  VirusBuster: iworm I-Worm.Sober.AI
   •  Bitdefender: Win32.Sober.AD@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\WinSecurity\services.exe
   • %WINDIR%\WinSecurity\smss.exe
   • %WINDIR%\WinSecurity\csrss.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %WINDIR%\WinSecurity\starter.run
   • %WINDIR%\WinSecurity\nexttroj.tro

– MIME enkodierte Kopie seiner selbst:
   • %WINDIR%\WinSecurity\socket1.ifo
   • %WINDIR%\WinSecurity\socket2.ifo
   • %WINDIR%\WinSecurity\socket3.ifo

– Dateien welche gesammelte Email Adressen enthalten:
   • %WINDIR%\WinSecurity\mssock1.dli
   • %WINDIR%\WinSecurity\mssock2.dli
   • %WINDIR%\WinSecurity\mssock3.dli
   • %WINDIR%\WinSecurity\winmem1.ory
   • %WINDIR%\WinSecurity\winmem2.ory
   • %WINDIR%\WinSecurity\ winmem3.ory

– Dateien um Vorgängerversionen von sich zu deaktivieren:
   • %SYSDIR%\bbvmwxxf.hml
   • %SYSDIR%\langeinf.lin
   • %SYSDIR%\nonrunso.ber
   • %SYSDIR%\rubezahl.rub
   • %SYSDIR%\filesms.fms
   • %SYSDIR%\runstop.rst




Es wird versucht folgende Datei herunterzuladen:

Die enthaltene Zeitsynchronisation, welche mittels des NTP Protokolls realisiert wurde löst bei folgendem Zeitpunkt aus:
Datum: 06/01/2006
Zeit: 00:00 UTC (Universal Time Coordinated)

Die Liste der URLs ändert sich in folgendem Intervall: 14 Tage


– Die URLs sind folgende:
   • free.pages.at/emcndvwoemn/**********
   • home.arcor.de/dixqshv/**********
   • home.arcor.de/jmqnqgijmng/**********
   • home.arcor.de/nhirmvtg/**********
   • home.arcor.de/ocllceclbhs/**********
   • home.arcor.de/srvziadzvzr/**********
   • home.pages.at/npgwtjgxwthx/**********
   • people.freenet.de/fseqepagqfphv/**********
   • people.freenet.de/mclvompycem/**********
   • people.freenet.de/qisezhin/**********
   • people.freenet.de/smtmeihf/**********
   • people.freenet.de/urfiqileuq/**********
   • people.freenet.de/wjpropqmlpohj/**********
   • people.freenet.de/zmnjgmomgbdz/**********
   • scifi.pages.at/zzzvmkituktgr/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%WINDIR%\WinSecurity\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_Windows"="%WINDIR%\WinSecurity\services.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Auslösebedingung:
Aufgrund der bekommenen Uhrzeit startet die Malware die Versandroutine. Der Zeitabgleich wird mittels des NTP Protokolls realisiert.
–  Datum: 21/11/2005
–  Zeit: 7 nach Mittag (GMT)


Von:
Die Absenderadresse wurde gefälscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Generierte Adressen


Betreff:
Eine der folgenden:
   • Account Information; Account_Information; Ermittlungsverfahren wurde
      eingeleitet; Ermittlungsverfahren_wurde_eingeleitet; hi, ive a new
      mail address; hi,_ive_a_new_mail_address; Ihr Passwort; Ihr_Passwort;
      Mail delivery failed; Mail_delivery_failed; Mailzustellung wurde
      unterbrochen; Mailzustellung_wurde_unterbrochen; Paris Hilton & Nicole
      Richie; Paris_Hilton_&_Nicole_Richie; Registration Confirmation;
      Registration_Confirmation; RTL: Wer wird Millionaer;
      RTL:_Wer_wird_Millionaer; Sehr geehrter Ebay-Kunde;
      Sehr_geehrter_Ebay-Kunde; Sie besitzen Raubkopien;
      Sie_besitzen_Raubkopien; smtp mail failed; SMTP Mail gescheitert;
      smtp_mail_failed; SMTP_Mail_gescheitert; You visit illegal websites;
      You_visit_illegal_websites; Your IP was logged; Your Password;
      Your_IP_was_logged; Your_Password



Body:
Der Body der Email ist einer der folgenden:

   • Bei uns wurde ein neues Benutzerkonto mit dem Namen "%zufällige Buchstabenkombination%" beantragt.
     Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
     Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
     
     Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
     
     Vielen Dank,
     
     Ihr Ebay-Team

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
     Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP %IP Addresse% erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     Aktenzeichen NR.:
     %vierstellige zufällige Buchstabenkombination% (siehe Anhang)
     
     Hochachtungsvoll
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0

   • Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
     
     *** http://www.%Domain Name der Emailadresse des Absenders%
     *** E-Mail: PassAdmin@%Domain Name der Emailadresse des Absenders%

   • Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
     Sie sitzen demnaechst bei Guenther Jauch im Studio!
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     +++ RTL interactive GmbH
     +++ Geschaeftsfuehrung: Dr. Constantin Lange
     +++ Am Coloneum 1
     +++ 50829 Koeln
     +++ Fon: +49(0) 221-780 0 oder
     +++ Fon: +49 (0) 180 5 44 66 99

   • Dear Sir/Madam,
     
     we have logged your IP-address on more than 30 illegal Websites.
     
     Important:
     Please answer our questions!
     The list of questions are attached.
     
     Yours faithfully,
     Steven Allison
     
     *** Federal Bureau of Investigation -FBI-
     *** 935 Pennsylvania Avenue, NW, Room 3220
     *** Washington, DC 20535
     *** phone: (202) 324-3000

   • hey its me, my old address dont work at time. i dont know why?!
     in the last days ive got some mails. i' think thaz your mails but im not sure!
     
     plz read and check ...
     cyaaaaaaa

   • The Simple Life:
     
     View Paris Hilton & Nicole Richie video clips , pictures & more ;)
     Download is free until Jan, 2006!
     
     Please use our Download manager.

   • Account and Password Information are attached!
     
     ***** Go to: http://www.%Domain Name der Emailadresse des Absenders%
     ***** Email: postman@%Domain Name der Emailadresse des Absenders%

   • This is an automatically generated Delivery Status Notification.
     
     SMTP_Error []
     I'm afraid I wasn't able to deliver your message.
     This is a permanent error; I've given up. Sorry it didn't work out.
     
     The full mail-text and header is attached!

   • Protected message is attached!
     
     
     ***** Go to: http://www.%Domain Name der Emailadresse des Absenders%
     ***** Email: postman@%Domain Name der Emailadresse des Absenders%


Dateianhang:
Die Dateinamen der Anhänge wird aus folgenden zusammengesetzt:

–  Möglicherweise beginnt er mit einem der folgenden:
   • Admin
   • Akte
   • Anzeige
   • Auslosung
   • BKA
   • BKA.Bund
   • Casting
   • downloadm
   • Download
   • Ebay
   • Ebay-User_RegC
   • Ebay-User%mehrere beliebige Ziffern%_RegC
   • Email
   • Gewinn
   • Hostmaster
   • Kandidat
   • Info
   • Internet
   • list
   • mail
   • mailtext
   • question_list
   • Post
   • Postman
   • Postmaster
   • reg_pass
   • RTL-Admin
   • RTL
   • RTL-TV
   • Service
   • Webmaster
   • WWM
   • %zufällige Buchstabenkombination%
   • %gestohlene Infromation%

Manchmal gefolgt von einer der folgenden:
   • _body
   • -data
   • -TextInfo
   • _text
   • _Text
   • %zufällige Buchstabenkombination%

    Die Dateierweiterung ist eine der folgenden:
   • zip

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • abc; abd; abx; adb; ade; adp; adr; asp; bak; bas; cfg; cgi; cls; cms;
      csv; ctl; dbx; dhtm; doc; dsp; dsw; eml; fdb; frm; hlp; imb; imh; imh;
      imm; inbox; ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx;
      mht; mmf; msg; nab; nch; nfo; nsf; nws; ods; oft; php; pl; pmr; pp;
      ppt; pst; rtf; shtml; slk; sln; stm; tbb; txt; uin; vap; vbs; vcf;
      wab; wsh; xhtml; xls; xml


Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • Admin; Anzeige; Auslosung; BKA; BKA.Bund; Casting; Department;
      Downloads; Gewinn; Hostmaster; hostmaster; info; Info; Internet;
      Kandidat; Mail; office; Post; Postman; RTL; RTL-TV; RTL-Admin;
      Service; webmaster; WWM

Dies wird mit Domain Namen der folgenden Liste oder derer in Dateien gefundenen Adressen kombiniert.

Der Domain Name ist einer der folgenden:
   • BKA.de
   • bka.bund.de
   • cia.gov
   • fbi.gov
   • RTL.de
   • RTLWorld.de
   • Ebay.com


Erzeugen von Adressen für den Empfänger:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • address; email; emailserv; e-user; ex-smtp; listening; MailIn_Box;
      mailingbox; mailserver; priv-mail; RAR.regsite; smntp; ThisAccount;
      x_mail-list; XFreeMail; XPost; x-Recipient; Z-Account; zfreemailer;
      Z-User

Dieser wird möglicherweise mit folgendem kombiniert werden:
   • %mehrere beliebige Ziffern%

Dies wird mit Domain Namen der folgenden Liste oder derer in Dateien gefundenen Adressen kombiniert.

Der Domain Name ist einer der folgenden:
   • security.nl; google.com; yahoo.com; heise.de; hotmail.com;
      microsoft.com; t-online.de; arcor.de; fbi.gov; cia.gov; blueWin.ch;
      msdn.microsoft.com; aol.com; ragnarokonline.com; symantec.com;
      icq.com; ibm.com; yahoo.de; hotmail.de; gmx.de; gmx.at; gmx.net;
      gmx.ch


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • ntp-; ntp.; ntp@; test@; @www; @from.; support; smtp-; @smtp.;
      gold-certs; ftp.; .dial.; .ppp.; anyone; subscribe; announce;
      @gmetref; sql.; someone; nothing; you@; user@; reciver@; somebody;
      secure; whatever; whoever; anywhere; yourname; mustermann;
      .kundenserver.; mailer-daemon; variabel; norepl; -dav; law; .sul.t-;
      .qmail; t-ipconnect; t-dialin; ipt.aol; time; freeav; @ca.; abuse;
      winrar; domain.; host.; viren; bitdefender; spybot; detection; ewido.;
      emsisoft; linux; google; @foo.; winzip; @example.; bellcore.; @arin;
      mozilla; iana; iana-; @iana; @avp; icrosoft.; @sophos; @panda;
      @kaspers; free-av; antivir; virus; verizon.; @ikarus.; @nai.;
      @messagelab; nlpmail01.; clock; sender; youremail; home.com;
      hostmaster; postmaster


MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • auth.smtp.kundenserver.de; cat.asw.cz; Command.com;
      eforward5.name-services.com; etrn.nextra.cz; excu-mxib-1.symantec.com;
      gold.internet-media.net; group-4.is-rvk.aves.F-Prot.com;
      gsmtp171.google.com; gsmtp57.google.com; icq-mr1.icq.com;
      in1.smtp.messagingengine.com; inbound.canada.com.criticalpath.net;
      INBOUND.HAURI.COM.NETSOLMAIL.net; lycos-com.mr.outblaze.com;
      mail.arcor.de; mail.cambridge.com; mail.DrWeb.com; mail.freeav.de;
      mail.postman.net; mail.softhome.net; mail1.Sophos.com;
      maila.microsoft.com; mailhost.ip-plus.net; mail-kr.bigfoot.com;
      mg1.w-o-r-l-d.net; mx.arcor.de; mx.freenet.de; mx.nyc.untd.com;
      mx0.gmx.de; mx0.gmx.net; mx1.F-Secure.com; mx1.icq.mail2world.com;
      mx1.mail.yahoo.com; mxbw.bluewin.ch; mx-ha01.web.de; mxiab.bluewin.ch;
      mxzhh.bluewin.ch; norman.norman.no; post.strato.de;
      redir-mail-telehouse1.gandi.net; relay.clara.net; relay.heise.de;
      relay2.ucia.gov; scanlab01.mymailwall.at; sitemail2.everyone.net;
      smtp.1und1.de; smtp.ameritech.yahoo.com; smtp.aol.com;
      smtp.compuserve.de; smtp.gmail.com; smtp.googlemail.com;
      smtp.isp.netscape.com; smtp.lycos.de; smtp.mail.ru;
      smtp.mail.yahoo.co.uk; smtp.mail.yahoo.com; smtp.sbcglobal.yahoo.com;
      smtp.web.de; smtp00.fbi.gov; smtp1.google.com; smtpauth.bluewin.ch;
      smtpauth.earthlink.net; sncwsrelay1.nai.com; tombrider.ealaddin.com;
      udcmail01.udc.TrendMicro.com


Kontaktiert DNS:
Es besitzt die Fähigkeit folgende DNS Server zu kontaktieren:
   • 204.127.160.3; 70.85.116.133; 204.60.0.3; 67.18.208.130; 69.93.9.167;
      65.98.70.107; 70.85.209.148; 70.84.250.212; 213.218.170.6;
      193.174.26.133; 203.178.136.36; 128.8.74.2; 194.87.0.9; 147.28.0.39;
      194.231.195.79; 69.20.54.201; 198.87.87.38; 194.206.126.200;
      209.68.63.250; 205.166.226.38; 128.83.139.9; 131.215.254.100;
      128.9.176.32; 216.194.225.70; 128.135.5.5; 219.127.89.34;
      193.158.124.143; 129.115.102.150; 38.9.211.2; 134.94.80.2;
      130.149.2.12; 131.215.254.100; 128.194.254.2; 4.2.2.3;
      195.185.185.195; 209.68.2.46; 129.186.1.200; 198.6.1.2; 131.243.64.3;
      24.93.40.33; 195.182.96.29; 158.43.128.1; 200.74.214.246;
      204.117.214.10; 194.25.2.129; 217.237.150.225; 217.237.151.161;
      151.201.0.39; 209.253.113.2; 213.239.234.108; 62.156.146.242;
      207.69.188.186; 207.217.120.43; 129.187.10.25; 200.52.83.103;
      129.187.16.1; 212.242.88.2

 Prozess Beendigung Folgender Prozess wird beendet:
   • mrt.exe

Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • microsoftanti; gcas; gcip; giantanti; inetupd.; nod32kui; nod32.;
      fxsbr; avwin.; guardgui.; aswclnr; stinger; hijack; sober; brfix;
      s_t_i_n; s-t-i-n



Nach Prozess Beendigung wird folgendes Fenster angezeigt:


 Diverses Zeit Synchronisation:
Um die lokale Systemzeit zu synchronisieren werden über Port 37 folgende NTP Server kontaktiert:
   • ntps1-1.uni-erlangen.de; time.mit.edu; tick.greyware.com;
      tock.keso.fi; ntp2c.mcc.ac.uk; ntp1.theremailer.net; time.chu.nrc.ca;
      time-a.timefreq.bldrdoc.gov; time.nrc.ca; ntp.massayonet.com.br;
      ntp2b.mcc.ac.uk; ntp2.ien.it; nist1.datum.com; swisstime.ethz.ch;
      clock.psu.edu; time.ien.it; ptbtime2.ptb.de; Rolex.PeachNet.edu;
      ntp.metas.ch; ntp3.fau.de; utcnist.colorado.edu; sundial.columbia.edu;
      vega.cbk.po nan.pl; ntp0.cornell.edu; ntp-sop.inria.fr; rolex.usg.edu;
      time.xmission.com; st.ntp.carnet.hr; ntp-1.ece.cmu.edu; time.nist.gov;
      ntp.lth.se; cuckoo.nevada.edu; ntp-2.ece.cmu.edu; time.kfki.hu;
      ntp.pads.ufrj.br; time-ext.missouri.edu; ntp1.arnes.si;
      timelord.uregina.ca; gandalf.theunixman.com


Datei modifizierung:
Um die maximale Anzahl der Verbindungen zu erhöhen hat es die Fähigkeit die tcpip.sys zu modifizieren. Die Datei könnte Schaden erleiden und die Netzwerkverbindung könnte unterbrochen werden.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Oliver Auerbach am Dienstag, 22. November 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Montag, 12. Dezember 2005

zurück . . . .