Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Sober.P
Data em que surgiu:02/05/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Mdio
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:No
Tamanho:53.554 Bytes
Verso VDF:6.30.00.151
Heurstico:Worm/Sober.gen

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows


Depois de executado visualizada a seguinte informao:


 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



So criados os seguintes ficheiros:

– Cpias com codificao MIME de si mesmo:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Ficheiros que contm uma coleco de endereos de email
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Tenta efectuar o download de alguns ficheiros:

O vrus contm cdigo de sincronizao de hora atravs do protocolo NTP e activa-se automaticamente depois de:
Data: 10/05/2005


A partir das seguintes localizaes:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Alm disso executa-se depois do download estar completo. Outras investigaes apontam para que este ficheiro, tambm, seja malware.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:
A linguagem na qual o e-mail enviado depende do nvel do domnio.


De:
O endereo do remetente falsificado.
Endereos gerados. No assuma que inteno do remetente enviar este email para si. Ele pode no saber que tem o sistema infectado, pode mesmo no estar infectado. Alm disso provvel que receba emails que digam que est infectado. Pode no ser o caso.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.


Assunto:
O assunto do e-mail feito a partir do seguinte:

    s vezes inicia com o seguinte:
   • FwD:

    Continuado por um dos seguintes:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


Corpo:
O corpo do email um dos seguintes:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do remetente%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%nome de domnio do endereo de e-mail do remetente%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do remetente%
     *-* MailTo: PasswordHelp@%nome de domnio e respectivo domnio de topo do endereo de e-mail do remetente%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


s vezes continua com o seguinte:

   • Visit: http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do remetente%


s vezes continua com um dos seguintes:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%nome de domnio do endereo de e-mail do destinatrio%" AntiVirus Service
     **** WebSite: http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%

   • *** AntiVirus: No Virus found
     *** "%nome de domnio do endereo de e-mail do destinatrio%" Anti-Virus
     *** http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%nome de domnio do endereo de e-mail do destinatrio%" Anti-Virus
     *** http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%

   • *** Attachment-Scanner: Status OK
     *** "%nome de domnio do endereo de e-mail do destinatrio%" Anti-Virus
     *** http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%

   • **** AntiVirus: Kein Virus gefunden
     **** "%nome de domnio do endereo de e-mail do destinatrio%" AntiVirus Service
     **** WebSite: http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%nome de domnio do endereo de e-mail do destinatrio%" AntiVirus Service
     **** WebSite: http://www.%nome de domnio e respectivo domnio de topo do endereo de e-mail do destinatrio%


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %nome de domnio do endereo de e-mail do remetente%_PassWort-Info.zip

O ficheiro de atalho contm uma cpia do prprio malware.

 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Usa a mesma lista de domnios como mencionado anteriormente.

Tem um dos seguintes domnios:
   • ok2006.de
   • fifa.de
Utiliza o seguinte texto para gerar endereos:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Informaes diversas Hora de sincronizao:
Sincroniza a hora local contactando servidores NTP pela porta 37:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Ivanes em sexta-feira, 7 de abril de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 12 de abril de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.