I-Worm.Sober.i

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.

Инсталляция

Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.

После запуска червь выводит на экран ложное сообщение об ошибке:

WinZip Self-Extractor
 WinZip_Data_Module is missing ~Error:

Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:

32
 crypt
 data
 diag
 dir
 disc
 expolrer
 host
 log
 run
 service
 smss32
 spool
 sys
 win

Например, "windiag.exe" и "data.exe".

Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "<случайный ключ>"="%System%\<имя файла червя>"
 
 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "<случайный ключ>"="%System%\<имя файла червя>"

Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

clonzips.ssc
 clsbern.isc
 cvqaikxt.apk
 dgssxy.yoi
 nonzipsr.noz
 Odin-Anon.Ger
 sysmms32.lla
 zippedsr.piz

Размножение

Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.

abc
 abd
 abx
 adb
 ade
 adp
 adr
 asp
 bak
 bas
 cfg
 cgi
 cls
 cms
 csv
 ctl
 dbx
 dhtm
 doc
 dsp
 dsw
 eml
 fdb
 frm
 hlp
imb
 imh
 imh
 imm
 inbox
 ini
 jsp
 ldb
 ldif
 log
 mbx
 mda
 mdb
 mde
 mdw
 mdx
 mht
 mmf
 msg
 nab
 nch
 nfo
 nsf
 nws
 ods
oft
 php
 pl
 pmr
 pp
 ppt
 pst
 rtf
 shtml
 slk
 sln
 stm
 tbb
 txt
 uin
 vap
 vbs
 vcf
 wab
 wsh
 xhtml
 xls
 xml

Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Найденные адреса электронной почты червь сохраняет в файлах с именами:

winexerun.dal
 winmprot.dal
 winroot64.dal
 winsend32.dal

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.

Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.

Прочее

Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.