RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Sober.i
| Время детектирования | 30 ноя 2004 14:06 MSK |
| Время выпуска обновления | 30 ноя 2004 14:06 MSK |
| Описание опубликовано | 19 ноя 2004 13:41 MSK |
Технические детали
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.
Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.
Инсталляция
Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.
После запуска червь выводит на экран ложное сообщение об ошибке:
WinZip Self-Extractor WinZip_Data_Module is missing ~Error:
Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:
32 crypt data diag dir disc expolrer host log run service smss32 spool sys win
Например, "windiag.exe" и "data.exe".
Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайный ключ>"="%System%\<имя файла червя>" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайный ключ>"="%System%\<имя файла червя>"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:
clonzips.ssc clsbern.isc cvqaikxt.apk dgssxy.yoi nonzipsr.noz Odin-Anon.Ger sysmms32.lla zippedsr.piz
Размножение
Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp |
imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods |
oft php pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml |
Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
Найденные адреса электронной почты червь сохраняет в файлах с именами:
winexerun.dal winmprot.dal winroot64.dal winsend32.dal
Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.
Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.
Прочее
Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- I-Worm.
Sober. i («Лаборатория Касперского») - W32/Sober-I (Sophos)
- Worm.
Sober. I (ClamAV) - W32/Sober.
I. worm (Panda) - W32/Sober.
J@mm (FPROT) - Worm:
Win32/Sober. I@mm (MS(OneCare)) - Win32.
HLLM. Sober (DrWeb) - Win32/Sober.
I worm (Nod32) - Trojan.
Script. 125994 (BitDef7) - Worm.
Generic. 63335 (BitDef7) - I-Worm.
Sober. I (VirusBuster) - Win32:
Sober-H [Wrm] (AVAST) - Email-Worm.
Win32. Sober (Ikarus) - Email-Worm.
Win32. Sober. I (Ikarus) - I-Worm/Sober.
I (AVG) - W32.
Sober. S@mm (NAV) - W32.
Sober. I@mm (NAV) - Sober.
I@mm (Norman) - W32/Sober.
J@mm (NAI) - WORM_SOBER.
I (PCCIL) - Worm.
Mail. Win32. Sober. i (Rising) - Email-Worm.
Win32. Sober. i [AVP] (FSecure) - WORM_SOBER.
I (TrendMicro) - Worm.
Win32. Lovgate. AC (Sunbelt) - I-Worm.
Sober. I (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей