Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sober.P
La date de la découverte:02/05/2005
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:53.554 Octets
Version VDF:6.30.00.151
L'heuristique:Worm/Sober.gen

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



Les fichiers suivants sont créés:

– Fichiers codés MIME contenant ses propres copies:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Des fichiers qui contiennent des adresses email collectées:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Il essaie de télécharger des fichiers:

La synchronisation de temps par le protocole NTP est inclue dans le code du virus et elle sera activée au moment suivant :
La date: 10/05/2005


– Les emplacements sont les suivants:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
La langue dans laquelle l'email est envoyé dépend du Top-Level-Domain.


De:
L'adresse de l'expéditeur est falsifiée.
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • FwD:

    Continué par un des suivants:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


Corps:
Le corps de l'email est un des suivants:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%le nom de domaine de l'expéditeur et le domaine Top Level de l'adresse email%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%le nom de domaine de l'expéditeur de l'adresse email%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%le nom de domaine de l'expéditeur et le domaine Top Level de l'adresse email%
     *-* MailTo: PasswordHelp@%le nom de domaine de l'expéditeur et le domaine Top Level de l'adresse email%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


Parfois continué par ce qui suit:

   • Visit: http://www.%le nom de domaine de l'expéditeur et le domaine Top Level de l'adresse email%


Parfois continué par un des suivantes:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** AntiVirus: No Virus found
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** Attachment-Scanner: Status OK
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • **** AntiVirus: Kein Virus gefunden
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %le nom de domaine de l'expéditeur de l'adresse email%_PassWort-Info.zip

La pièce jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


La création des adresses pour champ DE:
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Il utilise la même liste de domaine que mentionné ci-dessus.

Le domaine est un de ceux qui suivent:
   • ok2006.de
   • fifa.de
Pour produire des adresses il utilise les chaînes de caractères suivantes:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Informations divers Synchronisation du temps:
Afin de synchroniser le temps local il contact les serveurs NTP sur le port 37:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Ivanes le vendredi 7 avril 2006
Description mise à jour par Andrei Ivanes le mercredi 12 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.