Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sober.P
La date de la dcouverte:02/05/2005
Type:Ver
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:53.554 Octets
Version VDF:6.30.00.151
L'heuristique:Worm/Sober.gen

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il cre des fichiers
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres


Immdiatement aprs l'excution l'information suivante est affiche:


 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



Les fichiers suivants sont crs:

– Fichiers cods MIME contenant ses propres copies:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Des fichiers qui contiennent des adresses email collectes:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Il essaie de tlcharger des fichiers:

La synchronisation de temps par le protocole NTP est inclue dans le code du virus et elle sera active au moment suivant :
La date: 10/05/2005


Les emplacements sont les suivants:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Ensuite, ce fichier est excut aprs avoir t completment tlcharg. Les investigations ultrieures ont prouv que ce ficher est galement un Malware.

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:
La langue dans laquelle l'email est envoy dpend du Top-Level-Domain.


De:
L'adresse de l'expditeur est falsifie.
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Sujet:
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • FwD:

    Continu par un des suivants:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


Corps:
Le corps de l'email est un des suivants:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%le nom de domaine de l'expditeur et le domaine Top Level de l'adresse email%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%le nom de domaine de l'expditeur de l'adresse email%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%le nom de domaine de l'expditeur et le domaine Top Level de l'adresse email%
     *-* MailTo: PasswordHelp@%le nom de domaine de l'expditeur et le domaine Top Level de l'adresse email%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


Parfois continu par ce qui suit:

   • Visit: http://www.%le nom de domaine de l'expditeur et le domaine Top Level de l'adresse email%


Parfois continu par un des suivantes:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** AntiVirus: No Virus found
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • *** Attachment-Scanner: Status OK
     *** "%le nom de domaine du destinataire de l'adresse email% " Anti-Virus
     *** http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • **** AntiVirus: Kein Virus gefunden
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%le nom de domaine du destinataire de l'adresse email% " AntiVirus Service
     **** WebSite: http://www.%le nom de domaine du destinataire et le domaine Top Level de l'adresse email%


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %le nom de domaine de l'expditeur de l'adresse email%_PassWort-Info.zip

La pice jointe est une archive contenant une copie du virus

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


La cration des adresses pour champ DE:
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Il utilise la mme liste de domaine que mentionn ci-dessus.

Le domaine est un de ceux qui suivent:
   • ok2006.de
   • fifa.de
Pour produire des adresses il utilise les chanes de caractres suivantes:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Informations divers Synchronisation du temps:
Afin de synchroniser le temps local il contact les serveurs NTP sur le port 37:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Andrei Ivanes le vendredi 7 avril 2006
Description mise à jour par Andrei Ivanes le mercredi 12 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.