Email-Worm.Win32.Sober.y

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.

Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.

Инсталляция

После запуска червь выдает окно, содержащее следующее сообщение об ошибке:

При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:

%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe

Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:

%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory

После чего червь регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Windows"="%Windir%\WinSecurity\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "_Windows"="%Windir%\WinSecurity\services.exe"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает свои версии в кодировке base64 со следующими именами:

%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo

Также червь создает пустые файлы в системном каталоге Windows с различными именами:

%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:

gmx.
.de
.li
.ch
.at

При этом имя отправителя зараженных писем может включать в себя следующие строки:

@bka
@cia
@fbi
@rtl

Пример зараженного письма:

Тема письма:

• Account Information
• Ermittlungsverfahren wurde eingeleitet
• hi, ive a new mail address
• Ihr Passwort
• Mail delivery failed
• Mailzustellung wurde unterbrochen
• Paris Hilton & Nicole Richie
• Registration Confirmation
• RTL: Wer wird Millionaer
• Sehr geehrter Ebay-Kunde
• Sie besitzen Raubkopien
• smtp mail failed
• SMTP Mail gescheitert
• You visit illegal websites
• Your IP was logged
• Your Password

Текст письма:

• Account and Password Information are attached!
  ***** Go to: http://www.[имя домена получателя]
  ***** Email: postman@[имя домена получателя]

• Protected message is attached!
  ***** Go to: http://www.[имя домена получателя]
  ***** Email: postman@[имя домена получателя]

• This is an automatically generated Delivery Status Notification.
  
  SMTP_Error []
  I'm afraid I wasn't able to deliver your message.
  This is a permanent error; I've given up. Sorry it didn't work out.
  
  The full mail-text and header is attached!

• hey its me, my old address dont work at time. i dont know why?!
  in the last days ive got some mails. i' think thaz your mails but im not sure!
  plz read and check ...
  cyaaaaaaa

• Dear Sir/Madam,
  
  we have logged your IP-address on more than 30 illegal Websites.
  
  Important:
  Please answer our questions!
  The list of questions are attached.
  
  Yours faithfully,
  Steven Allison
  
  *** Federal Bureau of Investigation -FBI-
  *** 935 Pennsylvania Avenue, NW, Room 3220
  *** Washington, DC 20535
  *** phone: (202) 324-3000
  Dear Sir/Madam,
  
  we have logged your IP-address on more than 30 illegal Websites.
  
  Important:
  Please answer our questions!
  The list of questions are attached.
  
  Yours faithfully,
  Steven Allison
  
  ++++ Central Intelligence Agency -CIA-
  ++++ Office of Public Affairs
  ++++ Washington, D.C. 20505
  ++++ phone: (703) 482-0623
  ++++ 7:00 a.m. to 5:00 p.m., US Eastern time

• The Simple Life:
  
  View Paris Hilton & Nicole Richie video clips , pictures & more ;)
  Download is free until Jan, 2006!
  
  Please use our Download manager.

• Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
  
  *** http://www.[имя домена получателя]
  *** E-Mail: PassAdmin@[имя домена получателя]

• Sehr geehrte Dame, sehr geehrter Herr,
  
  das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
  Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit
  
  Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic
  
  Aktenzeichen NR.:# (siehe Anhang)
  
  Hochachtungsvoll
  i.A. Juergen Stock
  
  --- Bundeskriminalamt BKA
  --- Referat LS 2
  --- 65173 Wiesbaden
  --- Tel.: +49 (0)611 - 55 - 12331 oder
  --- Tel.: +49 (0)611 - 55 – 0

• Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
  Sie sitzen demnaechst bei Guenther Jauch im Studio!
  Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
  
  +++ RTL interactive GmbH
  +++ Geschaeftsfuehrung: Dr. Constantin Lange
  +++ Am Coloneum 1
  +++ 50829 Koeln
  +++ Fon: +49(0) 221-780 0 oder
  +++ Fon: +49 (0) 180 5 44 66 99

Имя файла-вложения:

• admin.zip
• akte.zip
• downloadm.zip
• ebay.zip
• email.zip
• email_text.zip
• hostmaster.zip
• info.zip
• list.zip
• mail.zip
• mail_body.zip
• mailtext.zip
• postman.zip
• postmaster.zip
• question_list.zip
• reg_pass.zip
• reg_pass-data.zip
• service.zip
• webmaster.zip

Прочее

Sober.y пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger

Также червь пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool).