Full description

Vírus	Worm/Sober.P
Data em que surgiu:	02/05/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	53.554 Bytes
Versão VDF:	6.30.00.151
Heurístico:	Worm/Sober.gen

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Symantec: W32.Sober.O@mm
   • Mcafee: W32/Sober.p@MM
   • Kaspersky: Email-Worm.Win32.Sober.p
   • TrendMicro: WORM_SOBER.S
   • Sophos: W32/Sober-N
   • Panda: W32/Sober.V.worm!CME-456
   • Grisoft: I-Worm/Sober.P
   • Bitdefender: Win32.Sober.O@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

Depois de executado é visualizada a seguinte informação:

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe

São criados os seguintes ficheiros:

– Cópias com codificação MIME de si mesmo:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Ficheiros que contêm uma colecção de endereços de email
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

– %WINDIR%\Connection Wizard\Status\fastso.ber

Tenta efectuar o download de alguns ficheiros:

O vírus contém código de sincronização de hora através do protocolo NTP e activa-se automaticamente depois de:
Data: 10/05/2005

– A partir das seguintes localizações:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
A linguagem na qual o e-mail é enviado depende do nível do domínio.

De:
O endereço do remetente é falsificado.
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.

Assunto:
O assunto do e-mail é feito a partir do seguinte:

    Às vezes inicia com o seguinte:
   • FwD:

    Continuado por um dos seguintes:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password

Corpo:
O corpo do email é um dos seguintes:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do remetente%

     ----------
     Folgende Fehler sind aufgetreten:

     Fehler konnte nicht Explicit ermittelt werden

     End Transmission
     ----------

     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.

     Auto ReMailer
      [%nome de domínio do endereço de e-mail do remetente%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.


     *-* http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do remetente%
     *-* MailTo: PasswordHelp@%nome de domínio e respectivo domínio de topo do endereço de e-mail do remetente%

   • This is an automatically generated E-Mail Delivery Status Notification.

     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,

     beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

     Ihr "ok2006" Team
     St. Rainer Gellhaus


     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de

Às vezes continua com o seguinte:

   • Visit: http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do remetente%

Às vezes continua com um dos seguintes:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%nome de domínio do endereço de e-mail do destinatário%" AntiVirus Service
     **** WebSite: http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   • *** AntiVirus: No Virus found
     *** "%nome de domínio do endereço de e-mail do destinatário%" Anti-Virus
     *** http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%nome de domínio do endereço de e-mail do destinatário%" Anti-Virus
     *** http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   • *** Attachment-Scanner: Status OK
     *** "%nome de domínio do endereço de e-mail do destinatário%" Anti-Virus
     *** http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   • **** AntiVirus: Kein Virus gefunden
     **** "%nome de domínio do endereço de e-mail do destinatário%" AntiVirus Service
     **** WebSite: http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%nome de domínio do endereço de e-mail do destinatário%" AntiVirus Service
     **** WebSite: http://www.%nome de domínio e respectivo domínio de topo do endereço de e-mail do destinatário%

Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %nome de domínio do endereço de e-mail do remetente%_PassWort-Info.zip

O ficheiro de atalho contém uma cópia do próprio malware.

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml

Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Usa a mesma lista de domínios como mencionado anteriormente.

Tem um dos seguintes domínios:
   • ok2006.de
   • fifa.de
Utiliza o seguinte texto para gerar endereços:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

Informações diversas Hora de sincronização:
Sincroniza a hora local contactando servidores NTP pela porta 37:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Andrei Ivanes em sexta-feira, 7 de abril de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 12 de abril de 2006

Voltar . . . .

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas