RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.u
| Время детектирования | 15 ноя 2005 13:22 MSK |
| Время выпуска обновления | 15 ноя 2005 13:22 MSK |
| Описание опубликовано | 23 ноя 2005 14:06 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — около 130 КБ, размер в распакованном виде — около 266 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение:
При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml %System%\gdfjgthv.cvq %System%\langeinf.lin %System%\nonrunso.ber %System%\rubezahl.rub %System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка и рассылает себя по всем найденным в них адресам электронной почты.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:
Тема письма:
- Haben Sie diese EMail verschickt?
- Registration Confirmation
Текст письма:
Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen sie zu erstatten!
Sie spinnen ja wohl! Die E-Mmailhat meine Tochter gelesen!!!!!!
Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt.
Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!!Thanks for your registration.
Your data are saved in the zipped Word.doc file!
Имя файла-вложения:
- registration.zip
- Word-Text.zip
Архив содержит файл с именем Word-Text_packedList.exe.
Прочее
Email-Worm.Win32.Sober.u пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.
Также в случае если на зараженном компьютере используется Windows XP SP2 червь ищет в приведенных ниже каталогах файл TCPIP.SYS и обновляет его с целью изменения нормальной работы протокола TCP/IP и препятствия доступа в сеть.
%System%\dllcache %System%\drivers %Windir%\ServicePackFiles
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- Virus:
W32/Sober. t. dr (McAfee) - W32/Sober-U (Sophos)
- Worm.
Sober. T-3 (ClamAV) - W32/Sober.
AD. worm (Panda) - W32/Sober.
T@mm (FPROT) - Worm:
Win32/Sober. V@mm. dr!CME157 (MS(OneCare)) - Win32.
HLLM. Sober (DrWeb) - Win32/Sober.
X worm (Nod32) - Win32.
Sober. U@mm (BitDef7) - I-Worm.
Sober. AD (VirusBuster) - Win32:
Sober-X2 [Wrm] (AVAST) - Email-Worm.
Win32. Sober. U (Ikarus) - I-Worm/Sober.
CC (AVG) - WORM/Sober.
V. 1 (AVIRA) - W32.
Sober. V@mm (NAV) - W32/Sober.
T@mm (Norman) - Worm.
Mail. Win32. Sober. u (Rising) - Email-Worm.
Win32. Sober. u [AVP] (FSecure) - TROJ_BRIZ.
A (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей