Имя:Worm/Sober.AB
Обнаружен:29/04/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Высокий
Потенциал распространения:Высокий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:89.274 байт.
Контрольная сумма MD5:b8c0c8f33f47c39794dff68489a706ce
Версия VDF:6.38.01.89
Версия IVDF:6.38.01.93 - пятница, 4 мая 2007 г.
Версия ядра:6.30.00.07

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Ранее были обнаружены как:
   •  Worm/Sober.GEN


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Загружает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Файлы  Создается следующая директория:
   • %WINDIR%\PoolData\



Создает собственные копии с именами файлов из списков
– Кому: %WINDIR%\PoolData\ С одним из следующих имен:
   • smss.exe
   • csrss.exe
   • services.exe




Файл будет переписан.
%SYSDIR%\drivers\tcpip.sys



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %WINDIR%\PoolData\xpsys.ddr




Попытка загрузки следующих файлов:

Синхронизация времени реализована посредством NTP протоколов. Процесс синхронизации запускается в указанный момент времени:
Дата: 05/05/2007


– Следующие URL:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– WinData
   • c:\windows\\PoolData\\services.exe

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Язык отправленного почтового сообщения зависит от "национальности" домена высшего уровня.


Условия срабатывания:
Процедура распространения запускается по полученному времени. Временная разница реализируется с помощью NTP протоколов.


От:
Генерированные адреса. Отправитель мог не иметь намерения отправлять это письмо. Он может ничего не знать об инфицировании свой системы. Вы можете получать письма с утверждением об инфицировании Вашей системы.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
Тема письма составляется следующим образом:

    Иногда имеет в начале следующее:
   • Ihr Passwort wurde geandert!

    Иногда содержит в конце одну из следующих строк:
   • Fehlerhafte Mailzustellung

    Иногда содержит в конце одну из следующих строк:
   • Ihr Account wurde eingerichtet!

    Иногда содержит в конце одну из следующих строк:
   • Your Updated Password!


Тело:
–  Текст письма содержит произвольные данные.
Тело письма имеет один из следующих видов:
Иногда имеет в начале следующее:

   • Danke das Sie sich fuer uns entschieden haben.
     


Иногда продолжается одним из следующих:

   • Diese Nachricht wurde automatisch generiert


Прикрепленный файл:

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Dennis Elser в(о) пятница, 4 мая 2007 г.
Описание обновил Dennis Elser в(о) понедельник, 7 мая 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.