Nume:Worm/Sober.AB
Descoperit pe data de:29/04/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:89.274 Bytes
MD5:b8c0c8f33f47c39794dff68489a706ce
Versiune VDF:6.38.01.89
Versiune IVDF:6.38.01.93 - vendredi 4 mai 2007
Versiune motor de scanare:6.30.00.07

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Initial identificat ca:
   •  Worm/Sober.GEN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere malware
   • Utilizeaza propriul motor de email
   • Modificari in registri




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Fisiere  Creeaza urmatorul director:
   • %WINDIR%\PoolData\



Scrie pe disc copii ale lui alegand numele fisierului din listele:
– Catre: %WINDIR%\PoolData\ Folosind unul din urmatoarele nume:
   • smss.exe
   • csrss.exe
   • services.exe




Suprascrie un fisier.
– %SYSDIR%\drivers\tcpip.sys



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %WINDIR%\PoolData\xpsys.ddr




Incearca sa descarce cateva fisiere:

Sincronizarea integrata prin protocolul NTP va fi activata in urmatorul moment:
Data: 05/05/2007


– Adresele sunt urmatoarele:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– WinData
   • c:\windows\\PoolData\\services.exe

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Limba in care email-ul este trimis depinde de Top-Level-Domain.


Mecanism de activare:
Rutina de transmitere a mesajelor porneste pe baza orei obtinute prin protocol NTP.


De la:
Adrese generate. Va rugam nu presupuneti ca a fost intentia expeditorului sa va trimita acest email. Este posibil ca el sa nu stie ca este infectat sau chiar sa nu aiba sistemul infectat. In plus, este posibil sa primiti email-uri returnate care sa va indice ca sunteti infectat, lucru care poate fi de asemenea fals.


Catre:
– Adrese de email gasite pe sistem.
Subiectul mesajului se compune din:

    Uneori incepe cu:
   • Ihr Passwort wurde geandert!

    Urmata uneori de una din urmatoarele:
   • Fehlerhafte Mailzustellung

    Urmata uneori de una din urmatoarele:
   • Ihr Account wurde eingerichtet!

    Urmata uneori de una din urmatoarele:
   • Your Updated Password!


Corpul email-ului:
–  Corpul email-ului contine caractere aleatoare.

 
Corpul email-ului este unul din textele:
Uneori incepe cu:

   • Danke das Sie sich fuer uns entschieden haben.
     


Urmand uneori:

   • Diese Nachricht wurde automatisch generiert


Atasament:

Atasamentul este o arhiva ce contine chiar o copie malware.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Dennis Elser le vendredi 4 mai 2007
Description mise à jour par Dennis Elser le lundi 7 mai 2007

Retour . . . .