Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sober.AB
La date de la découverte:29/04/2007
Type:Ver
En circulation:Oui
Infections signalées Élevé
Potentiel de distribution:Élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:89.274 Octets
Somme de contrôle MD5:b8c0c8f33f47c39794dff68489a706ce
Version VDF:6.38.01.89
Version IVDF:6.38.01.93 - vendredi 4 mai 2007
Version du moteur de scan:6.30.00.07

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Avant, il était détecté comme:
   •  Worm/Sober.GEN


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il télécharge des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Fichiers  Il crée le répertoire suivant:
   • %WINDIR%\PoolData\



Il crée sa propre copie en employant un nom de fichier des listes:
– A: %WINDIR%\PoolData\ employant un des noms suivants:
   • smss.exe
   • csrss.exe
   • services.exe




Il écrase un fichier.
%SYSDIR%\drivers\tcpip.sys



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %WINDIR%\PoolData\xpsys.ddr




Il essaie de télécharger des fichiers:

La synchronisation de temps par le protocole NTP est inclue dans le code du virus et elle sera activée au moment suivant :
La date: 05/05/2007


– Les emplacements sont les suivants:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– WinData
   • c:\windows\\PoolData\\services.exe

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:
La langue dans laquelle l'email est envoyé dépend du Top-Level-Domain.


Conditions d'activation:
Selon le temps obtenu par l’intermédiaire du protocole NTP, il commencera la routine d'envoie des emails


De:
Adresses générées. Ne pas supposer pas que c'était l'intention de l'expéditeur de vous envoyer cet email. Il est possible qu'il ne sache pas qu'il est infecté ou il est possible qu'il ne soit pas du tout infecté. En outre, il est possible que vous receviez des emails en retour vous signifiant que vous êtes infecté. Ceci pourrait également ne pas être le cas.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
Le sujet de l'email est construit de ce que suit:

    Parfois il commence avec un des suivants:
   • Ihr Passwort wurde geandert!

    Parfois continué par un des suivants:
   • Fehlerhafte Mailzustellung

    Parfois continue par un des suivants:
   • Ihr Account wurde eingerichtet!

    Parfois continue par un des suivants:
   • Your Updated Password!


Corps:
–  Le corps contient des caractères aléatoires.

 
Le corps de l'email est un des suivants:
Parfois il commence avec un des suivants:

   • Danke das Sie sich fuer uns entschieden haben.
     


Parfois continué par ce qui suit:

   • Diese Nachricht wurde automatisch generiert


Pièce jointe:

La pièce jointe est une archive contenant une copie du virus

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Dennis Elser le vendredi 4 mai 2007
Description mise à jour par Dennis Elser le lundi 7 mai 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.