Connect with us

technokrata

Részletek a gyorsan terjedő Win32/Sober.I féregről

Dotkom

Részletek a gyorsan terjedő Win32/Sober.I féregről

A Visual Basic nyelven írt Win32/Sober.I féreg e-mail csatolmányaként érkezik, melynek hossza a tömörítésnek köszönhetően csupán 55 KB körüli.

A mellékletre való kattintással a “dropper”-ként funkcionáló csatolmány kidobja magából a tényleges férget (két példányban, a System könyvtárba), mely 45 KB körüli hosszúságú. A férget tartalmazó file-ok nevei az alábbi kifejezések véletlenszerű kombinációi lesznek: sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32

A féreg létrehoz két kulcsot a regisztrációs adatbázisban, a HKLM/Software/Microsoft/Windows/CurrentVersion/Run és a HKCU/Software/Microsoft/Windows/CurrentVersion/Run helyeken, ide beírja az előbb említett módon keletkezett file-okat.

A Win32/Sober.I a számítógépen található file-ok közül a következő kiterjesztésű állományokból szerzi a terjedéséhez szükséges e-mail címeket: pmr stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

Ha a címben az alábbi részek szerepelnek, nem küld e-mailt a féreg: ntp- ntp@ office @www @from. support redaktion smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure msdn. me@ whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel password noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time postmas service freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla @iana @avp @msn icrosoft. @spiegel. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

A System alkönyvtárban a következő file-ok jönnek létre:

– winsend32.dal
– winroot64.dal
– cvqaikxt.apk
– Odin-Anon.Ger
– sysmms32.lla
– dgssxy.yoi
– zippedsr.piz
– nonzipsr.noz
– winexerun.dal
– winmprot.dal
– clonzips.ssc
– clsobern.isc
– sb2run.dii

A fenti állományokban a féreg információkat tárol az összegyűjtött e-mail címekről.

A Win32/Sober.I által küldött elektronikus levelek angol vagy német nyelvűek lehetnek. Ha a címzett tartalmazza a “gmx.”, a “.de”, “.ch”, “.at” vagy a “.li” részeket, német nyelvű üzenetet küld, különben angol nyelvűt.

A német nyelvű üzenet tárgya a következők lehetnek:
– Info von
– Mailzustellung fehlgeschlagen
– Fehler in E-Mail
– Ihre E-Mail wurde verweigert
– Mailer Error
– Ungültige Zeichen in Ihrer E-Mail
– Mail- Verbindung wurde abgebrochen
– Mailer-Fehler
– Betr.- Ihr Account
– Ihre neuen Account-Daten
– Auftragsbestätigung
– Lieferungs-Bescheid

A Win32/Sober.I sokféle levéltörzset tud generálni, néhány példa:

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden, mussten wir leider eine Änderung bezüglich Ihrer Nutzungs- Daten vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.

Vielen Dank für Ihr Verständnis.

—— GmbH & Co. KG
—— Send-To: Home-Service@wimmeroth-assekuranz.com
—— www.wimmeroth-assekuranz.de

Az angol nyelvű üzenetek az alábbi tárgyak valamelyikével érkeznek:
– Details
– Oh God it´s
– Registration confirmation
– Confirmation
– Your Password
– Your mail password
– Delivery_failure_notice
– Faulty_mail delivery
– Mail delivery_failed
– Mail Error
– illegal signs in your mail
– invalid mail
– Mail_Delivery_failure
– mail delivery system

A NOD32 kiterjesztett heurisztikus keresőmotorja segítségével képes felismerni a dropper által létrehozott tényleges férget, a Win32/Sober.I férget név szerint az 1.927-es adatbázistól fölfelé (2004. 11. 19) tudja azonosítani a program. A vírusadatbázis frissítése mindenképpen ajánlott.

A cég kiadott egy ingyenesen letölthető eltávolítóeszközt, mellyel a Sober ezen változata a fertőzött számítógépekről eltüntethető.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek