RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.c
| Время детектирования | 14 фев 2004 08:24 MSK |
| Время выпуска обновления | 14 фев 2004 08:24 MSK |
| Описание опубликовано | 20 дек 2003 21:04 MSK |
Технические детали
Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в запакованном виде - примерно 73KB и может незначительно изменяться, размер в распакованном виде - примерно 260KB.Зараженные письма содержат произвольные темы и тексты. Имя вложения также может варьироваться с разными расширениями "bat", "cmd", "pif", "scr", "exe" и "com".
Например:
Тема письма:
why me?
Текст письма:
You say in the www. that i'm a terrorist!!!
No way out for you. I REPORT YOU !
You've said THAT about me
Имя вложения:
terror-list.com
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. При запуске червь выводит на экран ложное сообщение об ошибке:
И затем создает три свои копии с различными (случайными) именами в системном каталоге Windows.
Червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайное имя ключа>" = "%System%\<имя червя>"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайное имя ключа>" = "%System%\<имя червя>"Например: "jv32dirxpcon = xqdrv.exe"
Размножение через email
Червь ищет на диске файлы, имеющие одно из следующих расширений:
htt rtf doc xls ini mdb txt htm html wab pst |
fdb cfg ldb eml abc ldif nab adp mdw mda mde |
ade sln dsw dsp vap php asp shtml shtm |
Ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
Тема письма выбирается произвольно из списка:
Sorry, that's your mailИмя вложения выбирается произвольным образом.
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Registration confirmation
registration confirmation
Тело зараженного письма может содержать следующие строки:
i'm very very sorry, anybody have sent your mail to my address....И другие.
sorry for my bad english, I am a Swede!
excuse for my bad english, but I'm a Dutchman
I've got your mail, but its came on my mail address??? i've read this mail
,,, sorry about that excuse for my bad english, but I'm a Dutchman
I don't know how to start this! I'm dull,, can you test!?
Here, the DigiCam photos. A few are overexposed.
That you've killed this bastard. Your reward:
That you have paid for me! And that's your
Caution: To all gamers A new worm spread via online gaming! You must change your internet
configuration!! see: www.onlinegamerspro-worm.com set_config.
Attention: To all gamers
More than 75.000 freeware games!!! Genre: -> 8500 online games = 3D
Shooter, RPG, Action, Adventure, ... non online games: -> Action = 4200
games -> 3D Shooter's = 7500 games -> RPG's = 6800 games -> Adventure's =
5400 games -> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000
ROM's - others = 16900 games all free!! Download and enjoy downloader.exe
www.freegames4you-gzone.com
I-Worm.Sober
You say in the www. that i'm a terrorist!!! No way out for you. I REPORT YOU ! You've said THAT about me
Thanks for your registration. ( We say Sorry again, the first mail was delivered to an unknown
mail address. This was a bug in our mailing system! ) The amount of 239.- USD was deducted by
your xxx Welcome, you can now visit more than 1200 very very hot web pages! Your registration,
pages and passwords are xxx in the attachment.
I said, I love you..,, and you said NOTHING. And now,,, Go Away From Me Here are my
love-letter((s)) mock me mock me again and again . Enjoy it. blablabla GO!
You get the charge in writing, in the next days.
In the next days you will receive the charge in writing.
In the next days, you'll get the charge in writing.
In the next days, you'll get the charge in writing.
Ladies and Gentlemen, Downloading of Movies, MP3s and Software is illegal
and punishable by law. We hereby inform you that your computer was scanned
under the IP xxx. The contents of your computer were confiscated as an
evidence, and you will be indicated. In the next days, you'll get the
charge in writing. In the Reference code: #xxx, are all files, that we
found on your computer. The sender address of this mail was masked,
xxx- You get more detailed information by the Federal Bureau of
Investigation -FBI-- Department for Illegal Internet Downloads, Room 7350 -
935 Pennsylvania Avenue - Washington, DC 20535, USA - (202) 324-3000
In the next days, you'll get the charge in writing.
Размножение через P2P
При запуске червь ищет каталоги файлообмена программ Kazaa, EMule и EDonkey2000. Если такие каталоги найдены на зараженной машине, червь перезаписывает собой все исполняемые файлы в этих каталогах, не изменяя имена и размеры файлов.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Sober. c («Лаборатория Касперского») - Virus:
W32/Sober. c@MM (McAfee) - W32/Sober-C (Sophos)
- Worm.
Sober. C1 (ClamAV) - W32/Sober.
C. worm (Panda) - W32/Worm!95de (FPROT)
- Worm:
Win32/Sober. C@mm (MS(OneCare)) - Win32.
HLLM. Generic. 265 (DrWeb) - Win32/Sober.
C worm (Nod32) - Win32.
Sober. C@mm (BitDef7) - I-Worm.
Sober. D (VirusBuster) - Win32:
Sober-BF [Wrm] (AVAST) - Email-Worm.
Win32. Sober (Ikarus) - Email-Worm.
Win32. Sober. C (Ikarus) - I-Worm/Sober.
C (AVG) - WORM/Sober.
C1 (AVIRA) - Malformed container violation (NAV)
- W32.
Sober. C@mm (NAV) - Worm.
Mail. Sober. az (Rising) - Email-Worm.
Win32. Sober. c [AVP] (FSecure) - TROJ_Gen.
MZ40M4 (TrendMicro) - WORM_SOBER.
GEN (TrendMicro) - Trojan.
Win32. Generic!BT (Sunbelt) - I-Worm.
Sober. D (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей