Sober.F – betárcsázó a féreg

A fertőzött e-mail tulajdonságai

Feladó: a következő domainekből érkezhet a féreg:
. @abuse.de
. @yahoo.com
. @yahoo.de
. @gmx.de
. @gmx.net
. @web.de
. @freenet.de
. @lycos.de

Tárgy, tartalom: német és angol nyelvű szöveget tartalmazhat

Csatolmány: a következők valamelyike, PIF vagy ZIP kiterjesztéssel:
– Oh-Mann
– Dokument
– KurzText
– AntiVirus-Text
– Anleitung
– Passwoerter.txt
– Text-Inhalt
– AMD-System.txt
– Benutzer-Daten
– Datenbank-Fehler
– abuse-liste
– schwarze-listen
– Block-Lists
– anitv_text
– instructions
– your_article
– your_passwords
– messagedoc
– corrected_text-file
– attach-message
– [véletlenszerű karakterek]-attachment
– [véletlenszerű karakterek]_attach
– pass-message
– text
– Textdocument

A féreg paraméterei

Felfedezésének ideje: 2004. április 3.
Utolsó frissítés ideje: 2004. április 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 42.496 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba egy véletlenszerűen választott file-néven
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlenszerűen választott file-név] Registry kulcsot
– hozzáadja a [véletlenszerűen létrehozott string]=[System elérési útvonala]/[véletlenszerűen választott név].exe %1 bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/[véletlenszerűen választott file-név]
– Windows XP-n hozzáad egy véletlenszerű értéket a következő Registry kulcshoz:
. HKEY_USERS/S-1-5-21-??????????-??????????-?????????-???/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– felmásolja a System könyvtárba a következő állományokat:
. zmndpgwf.kxx
. zhcarxxi.vvx
. bcegfds.lll
. syst32win.dll (a fertőzött számítógépről összegyűjtött e-mailcímek logfile-ja)
. winsys32xx.zzp
. winhex32xx.wrm
. spoofed_recips.ocx
– amennyiben a rendszer nem csatlakozik az Internetre, a féreg megkísérelheti az esetlegesen meglevő modemes Internet-csatlakozás betárcsázásával létrehozni a kapcsolatot, s a következő üzenetet is megjelenítheti:
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
– felméri a rögzített meghajtókat a rendszeren, majd ezeken e-mailcímek után kutat, a következő kiterjesztéssel bíró állományokban: .abd, .abx, .adb, .asp, .dbx, .doc, .eml, .ini, .log, .mdb, .php, .pl, .rtf, .shtml, .tbb, .ttt, .txt, .wab, .xls
– elküldi önmagát a fenti címekre, kivéve, ha azok bizonyos sztringeket (például mailer-daemon, office, redaktion, support, variabel, password) tartalmaznak