Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Sober.P
Scoperto:02/05/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:No
Dimensione del file:53.554 Byte
Versione VDF:6.30.00.151
Euristico:Worm/Sober.gen

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file maligno
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



Vengono creati i seguenti file:

– Copie di se stesso con codifica MIME:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– File che contengono gli indirizzi email recuperati:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Un file ad uso temporaneo che pu essere cancellato in seguito:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Prova a scaricare dei file:

La sincronizzazione incorporata dell'ora attraverso il protocollo NTP avr inizio al seguente istante temporale:
Data: 10/05/2005


Le posizioni sono le seguenti:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.


Da:
L'indirizzo del mittente falso.
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria infezione o addirittura potrebbe non essere infetto. In pi si potrebbero ricevere email bounce che diranno che si infetti. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
L'oggetto dell'email costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • FwD:

    Seguito da uno dei seguenti:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


Corpo dell'email:
Il corpo dellemail come uno dei seguenti:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%nome a dominio del mittente e dominio di primo livello dall'indirizzo email%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%nome a dominio del mittente dall'indirizzo email%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%nome a dominio del mittente e dominio di primo livello dall'indirizzo email%
     *-* MailTo: PasswordHelp@%nome a dominio del mittente e dominio di primo livello dall'indirizzo email%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


A volte seguito dal seguente:

   • Visit: http://www.%nome a dominio del mittente e dominio di primo livello dall'indirizzo email%


A volte seguito da uno dei seguenti:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%nome a dominio del ricevente dall'indirizzo email% " AntiVirus Service
     **** WebSite: http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%

   • *** AntiVirus: No Virus found
     *** "%nome a dominio del ricevente dall'indirizzo email% " Anti-Virus
     *** http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%nome a dominio del ricevente dall'indirizzo email% " Anti-Virus
     *** http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%

   • *** Attachment-Scanner: Status OK
     *** "%nome a dominio del ricevente dall'indirizzo email% " Anti-Virus
     *** http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%

   • **** AntiVirus: Kein Virus gefunden
     **** "%nome a dominio del ricevente dall'indirizzo email% " AntiVirus Service
     **** WebSite: http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%nome a dominio del ricevente dall'indirizzo email% " AntiVirus Service
     **** WebSite: http://www.%nome a dominio del ricevente e dominio di primo livello dall'indirizzo email%


File allegato:
Il nome del file allegato uno dei seguenti:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %nome a dominio del mittente dall'indirizzo email%_PassWort-Info.zip

L'allegato un archivio che contiene una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


Generazione dell'indirizzo per il campo FROM:
Per generare indirizzi utilizza le seguenti stringhe:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Utilizza la stessa lista di dominio, come sopracitato.

Il dominio uno dei seguenti:
   • ok2006.de
   • fifa.de
Per generare indirizzi utilizza le seguenti stringhe:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Varie Sincronizzazione dell'ora:
Per sincronizzare l'ora locale, contatta i server NTP sulla porta 37:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Ivanes su venerdì 7 aprile 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 12 aprile 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.