Email-Worm.Win32.Sober.q

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Email-Worm.Win32.Sober.q («Лаборатория Касперского») также известен как: W32/Sober.gen@MM (McAfee), Win32.HLLM.Generic.345 (Doctor Web), Troj/Sober-Q (Sophos), WORM_SOBER.U (Trend Micro), Win32.Sober.Q@mm (SOFTWIN), Worm.Sober.Q (ClamAV), W32/Sober.W.worm (Panda), Win32/Sober.P (Eset)

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов.

Инсталляция

После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами:


csrss.exe
services.exe
smss.exe

Вирус регистрирует себя в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\
CurrentVersion\Run]
 "SystemBoot"="%windir%\help\
help\services.exe"

Также изменяет ключ системного реестра:


[...\exefile\shell\open\command]

Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе.

Также червь создает несколько вспомогательных файлов в системе:


adcmmmmq.hjg
fastso.ber
gdfjgthv.cvq
langeinf.lin
sacri2.ggg
sacri3.ggg
sysonce.tst
seppelmx.smx
xcvfpokd.tqa

Вирус ищет адреса электронной почты в файлах со следующими расширениями:


abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp

	

imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods

	

oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Найденные адреса электронной почты сохраняются в файлы с именами:


voner1.von
voner2.von
voner3.von

Вирус не собирает адреса, в которых имеются строки:


.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google

	

host.
iana-
iana@
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname 

Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием:


[ссылка]
[ссылка]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)

In diesem Sinne 

Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке.

По всем остальным адресам идет рассылка писем на английском языке.

В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки.

Прочее

Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов:


free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки:


fxsob
gcas
gcip
giantanti
inetupd.
microsoftanti
hijack
nod32kui
nod32.
sober
s-t-i-n-g