Select language:

Вход
securelist.com Уровень опасности: 1
Аналитика
Веблог
Энциклопедия
Описания
Глоссарий

Email-Worm.Win32.Sober.i

Главная / Описания / Email-Worm.Win32.Sober.i

Печать		 Bookmark and Share
Закладки
Время детектирования 30 ноя 2004 14:06 MSK
Время выпуска обновления 30 ноя 2004 14:06 MSK
Описание опубликовано 19 ноя 2004 13:41 MSK

Технические детали

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.

Инсталляция

Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.

После запуска червь выводит на экран ложное сообщение об ошибке:

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:

Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win

Например, "windiag.exe" и "data.exe".

Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "<случайный ключ>"="%System%\<имя файла червя>"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "<случайный ключ>"="%System%\<имя файла червя>"

Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

clonzips.ssc
clsbern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sysmms32.lla
zippedsr.piz

Размножение

Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
 
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
 
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Найденные адреса электронной почты червь сохраняет в файлах с именами:

winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.

Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.

Прочее

Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.
Вредоносные программы
Вирусы и черви
Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

Другие модификации

Email-Worm.Win32.Sober.a

Email-Worm.Win32.Sober.c

Email-Worm.Win32.Sober.e

Email-Worm.Win32.Sober.f

Email-Worm.Win32.Sober.g

Email-Worm.Win32.Sober.u

Email-Worm.Win32.Sober.v

Email-Worm.Win32.Sober.y

Другие названия

Email-Worm.Win32.Sober.i («Лаборатория Касперского») также известен как:

  • I-Worm.Sober.i («Лаборатория Касперского»),
  • Virus: W32/Sober.j@MM (McAfee)
  • W32/Sober-I (Sophos)
  • Worm.Sober.I (ClamAV)
  • W32/Sober.I.worm (Panda)
  • W32/Sober.J@mm (FPROT)
  • Worm:Win32/Sober.I@mm (MS(OneCare))
  • Win32.HLLM.Sober (DrWeb)
  • Win32/Sober.I worm (Nod32)
  • Worm.Generic.63335 (BitDef7)
  • I-Worm.Sober.I (VirusBuster)
  • Win32:Sober-H [Wrm] (AVAST)
  • Email-Worm.Win32.Sober.I (Ikarus)
  • I-Worm/Sober.I (AVG)
  • WORM/Sober.I (AVIRA)
  • W32.Sober.I@mm (NAV)
  • Sober.I@mm (Norman)
  • W32/Sober.J@mm (NAI)
  • WORM_SOBER.I (PCCIL)
  • Worm.Mail.Win32.Sober.i (Rising)
  • Email-Worm.Win32.Sober.i [AVP] (FSecure)
  • WORM_SOBER.I (TrendMicro)
  • Trojan.Win32.Generic!BT (Sunbelt)
  • I-Worm.Sober.I (VirusBusterBeta)
 

securelist.com : аналитика, веблог, энциклопедия, описания, глоссарий, RSS, рассылки, контакты
kaspersky.ru : продукты, магазин, угрозы, сервис, загрузить, партнёры, о компании

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей