VírusWorm/Sober.AB
Data em que surgiu:29/04/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Alto
Nível de distribuição:Alto
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:89.274 Bytes
MD5 checksum:b8c0c8f33f47c39794dff68489a706ce
Versão VDF:6.38.01.89
Versão IVDF:6.38.01.93 - sexta-feira, 4 de maio de 2007
Versão do motor antivírus:6.30.00.07

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Identificado anteriormente como:
   •  Worm/Sober.GEN


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Ficheiros  Cria a seguinte pasta:
   • %WINDIR%\PoolData\



Envia cópias de si mesmo usando um nome das listas seguintes:
– Para: %WINDIR%\PoolData\ Usando um dos nomes seguintes:
   • smss.exe
   • csrss.exe
   • services.exe




Altera o conteúdo de um ficheiro.
%SYSDIR%\drivers\tcpip.sys



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %WINDIR%\PoolData\xpsys.ddr




Tenta efectuar o download de alguns ficheiros:

O vírus contém código de sincronização de hora através do protocolo NTP e activa-se automaticamente depois de:
Data: 05/05/2007


– A partir das seguintes localizações:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– WinData
   • c:\windows\\PoolData\\services.exe

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
A linguagem na qual o e-mail é enviado depende do nível do domínio.


Condições de activação:
Iniciará a rotina de mailing tendo em atenção a hora obtida através do protocolo NTP.


De:
Endereços gerados. Não assuma que é intenção do remetente enviar este email para si. Ele pode não saber que tem o sistema infectado, pode mesmo não estar infectado. Além disso é provável que receba emails que digam que está infectado. Pode não ser o caso.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
O assunto do e-mail é feito a partir do seguinte:

    Às vezes inicia com o seguinte:
   • Ihr Passwort wurde geandert!

    Por vezes continuado por um dos seguintes:
   • Fehlerhafte Mailzustellung

    Por vezes continuado por um dos seguintes:
   • Ihr Account wurde eingerichtet!

    Por vezes continuado por um dos seguintes:
   • Your Updated Password!


Corpo:
–  O corpo tem caracteres aleatórios.


O corpo do email é um dos seguintes:
Às vezes inicia com o seguinte:

   • Danke das Sie sich fuer uns entschieden haben.
     


Às vezes continua com o seguinte:

   • Diese Nachricht wurde automatisch generiert


Atalho:

O ficheiro de atalho contém uma cópia do próprio malware.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Dennis Elser em sexta-feira, 4 de maio de 2007
Descrição atualizada por Dennis Elser em segunda-feira, 7 de maio de 2007

Voltar . . . .