Name:Worm/Sober.AB
Entdeckt am:29/04/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:89.274 Bytes
MD5 Prüfsumme:b8c0c8f33f47c39794dff68489a706ce
VDF Version:6.38.01.89
IVDF Version:6.38.01.93 - Freitag, 4. Mai 2007
Engine Version:6.30.00.07

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Wurde zuvor wie folgt erkannt:
   •  Worm/Sober.GEN


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %WINDIR%\PoolData\



Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
   • smss.exe
   • csrss.exe
   • services.exe




Eine Datei wird überschreiben.
%SYSDIR%\drivers\tcpip.sys



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %WINDIR%\PoolData\xpsys.ddr




Es wird versucht die folgenden Dateien herunterzuladen:

Die enthaltene Zeitsynchronisation, welche mittels des NTP Protokolls realisiert wurde löst bei folgendem Zeitpunkt aus:
Datum: 05/05/2007


– Die URLs sind folgende:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– WinData
   • c:\windows\\PoolData\\services.exe

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhängig.


Auslösebedingung:
Aufgrund der bekommenen Uhrzeit startet die Malware die Versandroutine. Der Zeitabgleich wird mittels des NTP Protokolls realisiert.


Von:
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • Ihr Passwort wurde geandert!

    Manchmal gefolgt von einer der folgenden:
   • Fehlerhafte Mailzustellung

    Manchmal gefolgt von einer der folgenden:
   • Ihr Account wurde eingerichtet!

    Manchmal gefolgt von einer der folgenden:
   • Your Updated Password!


Body:
–  Der Body enthält zufällige Daten.

 
Der Body der Email ist einer der folgenden:
Manchmal beginnt er mit einem der folgenden:

   • Danke das Sie sich fuer uns entschieden haben.
     


Manchmal gefolgt von einer der folgenden:

   • Diese Nachricht wurde automatisch generiert


Dateianhang:

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Dennis Elser am Freitag, 4. Mai 2007
Die Beschreibung wurde geändert von Dennis Elser am Montag, 7. Mai 2007

zurück . . . .