RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.a
| Время детектирования | 25 окт 2003 04:48 MSK |
| Время выпуска обновления | 24 окт 2003 21:12 MSK |
| Описание опубликовано | 27 окт 2003 15:59 MSK |
Технические детали
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic и имеет произвольный размер от 63KB. Упакован UPX.Зараженные письма содержат произвольные темы и тексты на английском и немецком языках. Имя вложения также может варьироваться с разными расширениями "bat", "com", "exe", "pif" и "scr".
Например:
Тема письма:
New Sobig-Worm variation (please read)
Текст письма:
New Sobig variation in the net.
You must change any settings before the worm control your computer!
But, read the official statement from Norton Anti Virus!
Имя вложения:
NAV.pif
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. При запуске червь выводит на экран ложное сообщение об ошибке:
и создает три свои копии с различными именами в системном каталог Windows, например:
similare.exe systemchk.exe winrea.exeЧервь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "syspath" = "%System%\drv.exe"
Размножение
Червь ищет на диске файлы, имеющие одно из следующих расширений:
htt rtf doc xls ini mdb txt htm html wab pst fdb cfg ldb eml abc |
ldif nab adp mdw mda mde ade sln dsw dsp vap php asp shtml shtm |
You send spam mails (Worm?)Имя вложения выбирается из списка (приведен не полный список):
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Re: lol
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
Back At The Funny Farm
I love you (I'm not a virus!)
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
AntiVirusDoc.pifЗараженные письма, обычно, имеют подпись:
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
screen_doc.scr
potency.pif
perversion.scr
pic.scr
CM-Recover.com
playme.exe
robot_mailer.pif
little-scr.scr
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
anti_virusdoc.pif
check-patch.bat
removal-tool.exe
love.com
nacked.com
Hengst.pif
schnitzel.exe
anti-trojan.exe
NAV.pif
Automatic Mail notification: Robot-System__#
Прочее
Червь содержит в своем теле текстовые строки:Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Sober. a («Лаборатория Касперского») - I-Worm.
Sober («Лаборатория Касперского») - Virus:
W32/Sober. a@MM (McAfee) - W32/Sober-A (Sophos)
- Worm.
Sober (ClamAV) - W32/Sober.
A. worm (Panda) - W32/Sober.
A@mm (FPROT) - Worm:
Win32/Sober. A@mm (MS(OneCare)) - Win32.
HLLM. Odin (DrWeb) - Win32/Sober.
A worm (Nod32) - Win32.
Sober. A@mm. Dam. 2 (BitDef7) - I-Worm.
Sober. A (VirusBuster) - Win32:
Sober-AZ [Wrm] (AVAST) - Email-Worm.
Win32. Sober. A (Ikarus) - I-Worm/Sober.
A. dropper (AVG) - I-Worm/Sober.
A (AVG) - CHECK-~1.
BAT <<< WORM/Sober (AVIRA) - <<< WORM/Sober (AVIRA)
- WORM/Sober (AVIRA)
- W32.
Sober@mm (NAV) - Sober.
A@mm (Norman) - Worm.
Mail. Win32. Sober. ad (Rising) - Email-Worm.
Win32. Sober. a [AVP] (FSecure) - WORM_SOBER.
GEN (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - I-Worm.
Sober. A (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей