Полное описание

Имя:	Worm/Sober.P
Обнаружен:	02/05/2005
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Средний
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Нет
Размер файла:	53.554 байт.
Версия VDF:	6.30.00.151
Эвристика:	Worm/Sober.gen

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.Sober.O@mm
   • Mcafee: W32/Sober.p@MM
   • Kaspersky: Email-Worm.Win32.Sober.p
   • TrendMicro: WORM_SOBER.S
   • Sophos: W32/Sober-N
   • Panda: W32/Sober.V.worm!CME-456
   • Grisoft: I-Worm/Sober.P
   • Bitdefender: Win32.Sober.O@mm

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Создает файлы
   • Использует собственный почтовый движок
   • Изменение реестра

После запуска выдается следующая информация:

Файлы Создаются собственные копии:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe

Создаются следующие файлы:

– MIME зашифровала собственную копию:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Файлы с содержащимися в них Email адресами:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Файл предназначен для временного использования и может быть удален.
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

– %WINDIR%\Connection Wizard\Status\fastso.ber

Попытка загрузки следующих файлов:

Синхронизация времени реализована посредством NTP протоколов. Процесс синхронизации запускается в указанный момент времени:
Дата: 10/05/2005

– Следующие URL:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Язык отправленного почтового сообщения зависит от "национальности" домена высшего уровня.

От:
Адрес отправителя был фальсифицирован.
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.

Тема:
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • FwD:

    Завершается одним из следующих:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password

Тело:
Тело письма имеет один из следующих видов:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%Доменное имя и имя домен верхнего уровня электронного адреса отправителя%

     ----------
     Folgende Fehler sind aufgetreten:

     Fehler konnte nicht Explicit ermittelt werden

     End Transmission
     ----------

     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.

     Auto ReMailer
      [%доменная часть электронного адреса отправителя%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.


     *-* http://www.%Доменное имя и имя домен верхнего уровня электронного адреса отправителя%
     *-* MailTo: PasswordHelp@%Доменное имя и имя домен верхнего уровня электронного адреса отправителя%

   • This is an automatically generated E-Mail Delivery Status Notification.

     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,

     beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

     Ihr "ok2006" Team
     St. Rainer Gellhaus


     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de

Иногда продолжается одним из следующих:

   • Visit: http://www.%Доменное имя и имя домен верхнего уровня электронного адреса отправителя%

Иногда продолжается одним из следующих:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%доменная часть электронного адреса получателя%" AntiVirus Service
     **** WebSite: http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

   • *** AntiVirus: No Virus found
     *** "%доменная часть электронного адреса получателя%" Anti-Virus
     *** http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%доменная часть электронного адреса получателя%" Anti-Virus
     *** http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

   • *** Attachment-Scanner: Status OK
     *** "%доменная часть электронного адреса получателя%" Anti-Virus
     *** http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

   • **** AntiVirus: Kein Virus gefunden
     **** "%доменная часть электронного адреса получателя%" AntiVirus Service
     **** WebSite: http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%доменная часть электронного адреса получателя%" AntiVirus Service
     **** WebSite: http://www.%Доменное имя и имя домена верхнего уровня электронного адреса получателя%

Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %доменная часть электронного адреса отправителя%_PassWort-Info.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml

Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Применяется аналогичный ранее упоминавшемуся списку перечень доменных имен.

Одно из следующих доменных имен:
   • ok2006.de
   • fifa.de
Для генерации адресов применяются следующие строки:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info

Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

Разное Синхронизация времени:
Для синхронизации локального системного времени используется порт 37 следующих NTP серверов:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

Данные файла Язык программирования:
Программа была написана на Visual Basic.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Andrei Ivanes в(о) пятница, 7 апреля 2006 г.
Описание обновил Andrei Ivanes в(о) среда, 12 апреля 2006 г.

Назад . . . .