Email-Worm.Win32.Sober.g

Главная / Описания / Email-Worm.Win32.Sober.g

Печать

Закладки

Время детектирования	11 май 2004 19:42 MSK
Время выпуска обновления	11 май 2004 19:42 MSK
Описание опубликовано	03 июн 2004 14:29 MSK

Технические детали

Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде - примерно 47 КБ и может незначительно изменяться, из-за того что червь дописывает в конец файла произвольные данные.

Инсталляция

Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. После запуска червь выводит на экран ложное сообщение об ошибке:

File not found
Special-UnZip Data-Module
is missing
Open with Notepad?
Yes No

При нажатии на "Yes", червь открывает Notepad, в котором отображает различный мусорный текст (аналогично червю Mydoom).

Создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из списка:

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win

Червь регистрирует себя в ключе автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[случайное имя ключа]"="%System%\[имя червя]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[случайное имя ключа]"="%System%\[имя червя]"

Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

bcegfds.lll
cvqaikxt.apk
datsobex.wwr
NoSpam.readme
wincheck32.dats
winexpoder.dats
winzweier.dats
xdatxzap.zxp
zhcarxxi.vvx

Размножение

Червь ищет на диске файлы, имеющие одно из следующих расширений:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp

imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods

oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые произвольным образом составляются из нескольких частей.

Имя вложения также может варьироваться с разными расширениями "pif" или "zip".

Прочее

Червь может загружать на зараженный компьютер и запускать любые файлы со следующих удаленных сайтов:

free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

Вредоносные программы

Вирусы и черви

Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Sober.a

Email-Worm.Win32.Sober.c

Email-Worm.Win32.Sober.e

Email-Worm.Win32.Sober.f

Email-Worm.Win32.Sober.i

Email-Worm.Win32.Sober.u

Email-Worm.Win32.Sober.v

Email-Worm.Win32.Sober.y

Другие названия

Email-Worm.Win32.Sober.g («Лаборатория Касперского») также известен как:

I-Worm.Sober.g («Лаборатория Касперского»),
Virus: W32/Sober.g@MM (McAfee)
W32/Sober-G (Sophos)
Worm.Sober.G (ClamAV)
W32/Sober.G.worm (Panda)
W32/Sober.G@mm (FPROT)
Worm:Win32/Sober.G@mm (MS(OneCare))
Win32.HLLM.Generic.292 (DrWeb)
Win32/Sober.G worm (Nod32)
Worm.Generic.72444 (BitDef7)
I-Worm.Sober.G2 (VirusBuster)
Win32:Sober-AO [Wrm] (AVAST)
Email-Worm.Win32.Sober.G (Ikarus)
I-Worm/Sober.G (AVG)
WORM/Sober.G (AVIRA)
W32.Sober.G@mm (NAV)
Sober.G@mm (Norman)
Worm.Mail.Win32.Sober.g (Rising)
Email-Worm.Win32.Sober.g [AVP] (FSecure)
WORM_SOBER.GEN (TrendMicro)
Trojan.Win32.Generic!BT (Sunbelt)
I-Worm.Sober.G2 (VirusBusterBeta)