RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.f
| Время детектирования | 01 апр 2004 19:39 MSK |
| Время выпуска обновления | 01 апр 2004 19:39 MSK |
| Описание опубликовано | 07 апр 2004 12:38 MSK |
Технические детали
Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в пакованом виде - примерно 40KB и может незначительно изменяться, размер в распакованном виде - примерно 140KB.
Зараженные письма содержат произвольные темы и тексты. Имя вложения также может варьироваться с разными расширениями "pif" или "zip".
Например:
Тема письма:
Connection failed
Текст письма:
I hope you accept the result! Follow the instructions to read the message. Please read the document
Имя вложения:
your_passwords.pif
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. После запуска червь открывает Notepad в котором отображает исходный текст письма.
Создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из списка:
32 crypt data diag dir disc explorer host log run service smss32 spool sys win
Червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайное имя ключа>" = "%System%\<имя червя>"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "<случайное имя ключа>" = "%System%\<имя червя> %1"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:
bcegfds.lll spoofed_recips.ocx syst32win.dll winsys32xx.zzp winhex32xx.wrm zmndpgwf.kxx zhcarxxi.vvx
Размножение
Червь ищет на диске файлы, имеющие одно из следующих расширений:
abc abd abx adb ade adp adr asp bas cfg cgi cls ctl dbx dhtm doc dsp dsw eml fdb |
frm hlp ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf |
ods oft php pl pp ppt pst rtf shtml sln tbb txt uin vap vbs wab wsh xls xml |
и ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
В качестве адреса отправителя используется одно из названий (в качестве домена указывается домен получателя):
account admin Administrator Administrator AutoMailer AutoMailer Error_Info Fehler-Info Home Info Info Information Kundenservice Liste Passwort Register Register RobotMailer RobotMailer Schwarze-Liste Service Service User-info Webmaster Webmaster webmaster
В качестве домена отправителя также могут использоваться домены:
abuse.de freenet.de gmx.de gmx.net lycos.de web.de yahoo.com yahoo.de
Тема письма выбирается из списка:
Bad Gateway Bestatigung Confirmation Required Connection failed damn! Datenbank-Fehler Einzelheiten Faulty mail delivery Fehler Fehler in E-Mail Fehlerhafte Mailzustellung Hallo Du! Hallo! Hey Hey Du hey you Hi! Hi, Ich bin's Hi, it's me Ich bin es .-) Ihr neues Passwort Ihr Passwort Illegal signs in Mail-Routing Illegale Zeichen in Mail-Routing Info Info Information Information Invalid mail sentence length Mail delivery failed Mail Delivery failure mail delivery status Mail Error Mailzustellung fehlgeschlagen Message Error Message-ID Na, uberrascht?! Oh my God Registrierungs-Bestatigung Verbindung fehlgeschlagen Verdammt Warning! Warnung! Well, surprised? Your document
Тело зараженного письма может содержать следующие строки:
Ich war auch ein weniguberrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-MannAlles klaro bei dir?
Schau mal was Ich gefunden habe!Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
ByeIch habs dir doch gesagt, irgendwann schaffe ich es deine Passworter rauszubekommen!!!
Passwoerter.txtDetails entnehmen Sie bitte dem Attachment
Nahere Informationen befinden sich im Anhang.*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte uberprufen Sie nochmals diese E-Mail auf mogliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://
--- Mail To: User-HilfePasswort und Benutzername wurde erfolgreich geandert
Ihre Benutzernamen und Passworter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http://
++++ E-Mail: KundenInfoWegen eines Datenbank- Fehlers konnte es moglicherweise zu einem Verlust Ihrer personlichen Daten wie Kennworter gekommen sein.
Wenn Sie Unregelma?igkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank fur Ihr Verstandnis
+++ Ein Service von
+++ http://
+++ E-Mail: KundenserviceInternet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:I was surprised, too! :-(
Who could suspect something like that?All OK :)
see, what i've found!hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
byeI 've told you!:-) sometime I grab your passwords!
I hope you accept the result!
Follow the instructions to read the message.
Please read the documentRegistration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://
++++ Mail To: User-info*** Auto Mail Delivery System ***
_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission
The original message is a separate attachment.
--- Web: http://
--- Mail To: User-HilfeRead the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ http://
+++ Mail: homeThe message has been attached.
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha AlphaAnybody use your accounts!
For further details see the attachment.I have received your document. The corrected document is attached.
greets
Имя вложения выбирается из списка:
_attach -attachment abuse-liste AMD-System.txt anitv_text Anleitung AntiVirus-Text attach-message Benutzer-Daten Block-Lists corrected_text-file Datenbank-Fehler Dokument instructions KurzText messagedoc Oh-Mann pass-message Passwoerter.txt schwarze-listen text Textdocument Text-Inhalt your_article your_passwords
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Sober. f («Лаборатория Касперского») - I-Worm.
VB. c («Лаборатория Касперского») - Virus:
W32/Sober. eml (McAfee) - Virus:
W32/Sober. f. eml!zip (McAfee) - Virus:
W32/Sober. f@MM (McAfee) - W32/Sober-F (Sophos)
- Worm.
Sober. F (ClamAV) - W32/Sober.
F. worm (Panda) - W32/Sober.
F@mm (FPROT) - Worm:
Win32/Sober. F@mm (MS(OneCare)) - Win32.
HLLM. Generic. 285 (DrWeb) - Win32/Sober.
F worm (Nod32) - Trojan.
Script. 149638 (BitDef7) - Win32.
Sober. F@mm (BitDef7) - I-Worm.
Sober. G (VirusBuster) - Win32:
Sober-F [Wrm] (AVAST) - Win32:
Trojan-gen (AVAST) - Email-Worm.
Win32. Sober. F (Ikarus) - I-Worm/Sober.
F (AVG) - Unknown.
txt <<< WORM/Sober. F (AVIRA) - WORM/Sober.
F (AVIRA) - W32.
Sober. F@mm (NAV) - Suspicious_Gen3.
ILXG (Norman) - Suspicious_Gen3.
ILWG (Norman) - Sober.
F@mm (Norman) - W32/Sober.
f. eml!zip (NAI) - Worm.
Mail. Win32. Sober. an (Rising) - Email-Worm.
Win32. Sober. f [AVP] (FSecure) - WORM_SOBER.
GEN (TrendMicro) - I-Worm.
Sober. G (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей