Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sober.AB
La date de la dcouverte:29/04/2007
Type:Ver
En circulation:Oui
Infections signales lev
Potentiel de distribution:lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:89.274 Octets
Somme de contrle MD5:b8c0c8f33f47c39794dff68489a706ce
Version VDF:6.38.01.89
Version IVDF:6.38.01.93 - vendredi 4 mai 2007
Version du moteur de scan:6.30.00.07

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Avant, il tait dtect comme:
     Worm/Sober.GEN


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il tlcharge des fichiers malveillants
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Fichiers  Il cre le rpertoire suivant:
   • %WINDIR%\PoolData\



Il cre sa propre copie en employant un nom de fichier des listes:
A: %WINDIR%\PoolData\ employant un des noms suivants:
   • smss.exe
   • csrss.exe
   • services.exe




Il crase un fichier.
%SYSDIR%\drivers\tcpip.sys



Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %WINDIR%\PoolData\xpsys.ddr




Il essaie de tlcharger des fichiers:

La synchronisation de temps par le protocole NTP est inclue dans le code du virus et elle sera active au moment suivant :
La date: 05/05/2007


Les emplacements sont les suivants:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

WinData
   • c:\windows\\PoolData\\services.exe

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:
La langue dans laquelle l'email est envoy dpend du Top-Level-Domain.


Conditions d'activation:
Selon le temps obtenu par lintermdiaire du protocole NTP, il commencera la routine d'envoie des emails


De:
Adresses gnres. Ne pas supposer pas que c'tait l'intention de l'expditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infect ou il est possible qu'il ne soit pas du tout infect. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous tes infect. Ceci pourrait galement ne pas tre le cas.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • Ihr Passwort wurde geandert!

    Parfois continu par un des suivants:
   • Fehlerhafte Mailzustellung

    Parfois continue par un des suivants:
   • Ihr Account wurde eingerichtet!

    Parfois continue par un des suivants:
   • Your Updated Password!


Corps:
–  Le corps contient des caractres alatoires.


Le corps de l'email est un des suivants:
Parfois il commence avec un des suivants:

   • Danke das Sie sich fuer uns entschieden haben.
     


Parfois continu par ce qui suit:

   • Diese Nachricht wurde automatisch generiert


Pice jointe:

La pice jointe est une archive contenant une copie du virus

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Dennis Elser le vendredi 4 mai 2007
Description mise à jour par Dennis Elser le lundi 7 mai 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.