Технические детали
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic и имеет произвольный размер от 63KB. Упакован UPX.
Зараженные письма содержат произвольные темы и тексты на английском и немецком языках. Имя вложения также может варьироваться с разными расширениями "bat", "com", "exe", "pif" и "scr".
Например:
Тема письма:
New Sobig-Worm variation (please read)
Текст письма:
New Sobig variation in the net.
You must change any settings before the worm control your computer!
But, read the official statement from Norton Anti Virus!
Имя вложения:
NAV.pif
Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. При запуске червь выводит на экран ложное сообщение об ошибке:
и создает три свои копии с различными именами в системном каталог Windows, например:
similare.exe
systemchk.exe
winrea.exe
Червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"syspath" = "%System%\drv.exe"
Размножение
Червь ищет на диске файлы, имеющие одно из следующих расширений:
htt
rtf
doc
xls
ini
mdb
txt
htm
html
wab
pst
fdb
cfg
ldb
eml
abc |
ldif
nab
adp
mdw
mda
mde
ade
sln
dsw
dsp
vap
php
asp
shtml
shtm |
и ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
Тема письма выбирается произвольно из списка:
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Re: lol
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
Back At The Funny Farm
I love you (I'm not a virus!)
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
Имя вложения выбирается из списка (приведен не полный список):
AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
screen_doc.scr
potency.pif
perversion.scr
pic.scr
CM-Recover.com
playme.exe
robot_mailer.pif
little-scr.scr
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
anti_virusdoc.pif
check-patch.bat
removal-tool.exe
love.com
nacked.com
Hengst.pif
schnitzel.exe
anti-trojan.exe
NAV.pif
Зараженные письма, обычно, имеют подпись:
Automatic Mail notification: Robot-System__#
Прочее
Червь содержит в своем теле текстовые строки:
Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe
RSS-каналы
