Nome del virus:Worm/Sober.AB
Scoperto:29/04/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:89.274 Byte
Somma di controllo MD5:b8c0c8f33f47c39794dff68489a706ce
Versione VDF:6.38.01.89
Versione IVDF:6.38.01.93 - venerdì 4 maggio 2007
Versione del motore:6.30.00.07

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Precedentemente individuato come:
   •  Worm/Sober.GEN


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Scarica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 File  Crea la seguente directory:
   • %WINDIR%\PoolData\



Fa copie di se stesso utilizzando un nome file dalle liste
– A: %WINDIR%\PoolData\ Utilizzando uno dei seguenti nomi:
   • smss.exe
   • csrss.exe
   • services.exe




Sovrascrive un file.
%SYSDIR%\drivers\tcpip.sys



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %WINDIR%\PoolData\xpsys.ddr




Prova a scaricare dei file:

La sincronizzazione incorporata dell'ora attraverso il protocollo NTP avrà inizio al seguente istante temporale:
Data: 05/05/2007


– Le posizioni sono le seguenti:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– WinData
   • c:\windows\\PoolData\\services.exe

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.


Condizioni del Trigger:
In base all'ora recuperata attraverso il protocollo NTP, avvia la propria procedura di invio email.


Da:
Indirizzi generati. Non si presupponga che fosse intenzione del mittente inviare questa email. Potrebbe non essere a conoscenza della propria ”infezione” o addirittura potrebbe non essere “infetto”. In più si potrebbero ricevere email bounce che diranno che si è “infetti”. Questo potrebbe comunque non essere il caso.


A:
– Indirizzi email trovati in specifici file sul sistema.
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • Ihr Passwort wurde geandert!

    A volte seguito da uno dei seguenti:
   • Fehlerhafte Mailzustellung

    A volte seguito da uno dei seguenti:
   • Ihr Account wurde eingerichtet!

    A volte seguito da uno dei seguenti:
   • Your Updated Password!


Corpo dell'email:
–  Il corpo dell'email contiene caratteri casuali.


Il corpo dell’email è come uno dei seguenti:
A volte inizia con uno dei seguenti:

   • Danke das Sie sich fuer uns entschieden haben.
     


A volte seguito dal seguente:

   • Diese Nachricht wurde automatisch generiert


File allegato:

L'allegato è un archivio che contiene una copia del malware stesso.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Dennis Elser su venerdì 4 maggio 2007
Descrizione aggiornata da Dennis Elser su lunedì 7 maggio 2007

Indietro . . . .