I-Worm.Sober.i

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.

Инсталляция

Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.

После запуска червь выводит на экран ложное сообщение об ошибке:

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:

Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win

Например, "windiag.exe" и "data.exe".

Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "<случайный ключ>"="%System%\<имя файла червя>"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "<случайный ключ>"="%System%\<имя файла червя>"

Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

clonzips.ssc
clsbern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sysmms32.lla
zippedsr.piz

Размножение

Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Найденные адреса электронной почты червь сохраняет в файлах с именами:

winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.

Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.

Прочее

Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.