Email-Worm.Win32.Sober.q

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Email-Worm.Win32.Sober.q («Лаборатория Касперского») также известен как: W32/Sober.gen@MM (McAfee), Win32.HLLM.Generic.345 (Doctor Web), Troj/Sober-Q (Sophos), WORM_SOBER.U (Trend Micro), Win32.Sober.Q@mm (SOFTWIN), Worm.Sober.Q (ClamAV), W32/Sober.W.worm (Panda), Win32/Sober.P (Eset)

Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.

Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов.

Инсталляция

После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами:

 
 csrss.exe
 services.exe
 smss.exe
 

Вирус регистрирует себя в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\
 CurrentVersion\Run]
  "SystemBoot"="%windir%\help\
 help\services.exe"
 

Также изменяет ключ системного реестра:

 
 [...\exefile\shell\open\command]

Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе.

Также червь создает несколько вспомогательных файлов в системе:

 
 adcmmmmq.hjg
 fastso.ber
 gdfjgthv.cvq
 langeinf.lin
 sacri2.ggg
 sacri3.ggg
 sysonce.tst
 seppelmx.smx
 xcvfpokd.tqa

Вирус ищет адреса электронной почты в файлах со следующими расширениями:

 
 abc
 abd
 abx
 adb
 ade
 adp
 adr
 asp
 bak
 bas
 cfg
 cgi
 cls
 cms
 csv
 ctl
 dbx
 dhtm
 doc
 dsp
 dsw
 eml
 fdb
 frm
 hlp
 
 	
 
 imb
 imh
 imh
 imm
 inbox
 ini
 jsp
 ldb
 ldif
 log
 mbx
 mda
 mdb
 mde
 mdw
 mdx
 mht
 mmf
 msg
 nab
 nch
 nfo
 nsf
 nws
 ods
 
 	
 
 oft
 php
 phtm
 pl
 pmr
 pp
 ppt
 pst
 rtf
 shtml
 slk
 sln
 stm
 tbb
 txt
 uin
 vap
 vbs
 vcf
 wab
 wsh
 xhtml
 xls
 xml
 

Найденные адреса электронной почты сохраняются в файлы с именами:

 
 voner1.von
 voner2.von
 voner3.von
 

Вирус не собирает адреса, в которых имеются строки:

 
 .dial.
 .kundenserver.
 .ppp.
 .qmail@
 .sul.t-
 @arin
 @avp
 @ca.
 @example.
 @foo.
 @from.
 @gmetref
 @iana
 @ikarus.
 @kaspers
 @messagelab
 @nai.
 @panda
 @smtp.
 @sophos
 @www
 abuse
 announce
 antivir
 anyone
 anywhere
 bellcore.
 bitdefender
 clock
 -dav
 detection
 domain.
 emsisoft
 ewido.
 freeav
 free-av
 ftp.
 gold-certs
 google
 
 	
 
 host.
 iana-
 iana@
 icrosoft.
 ipt.aol
 law2
 linux
 mailer-daemon
 mozilla
 mustermann@
 nlpmail01.
 noreply
 nothing
 ntp-
 ntp.
 ntp@
 reciver@
 secure
 smtp-
 somebody
 someone
 spybot
 sql.
 subscribe
 t-dialin
 test@
 time
 t-ipconnect
 user@
 variabel
 verizon.
 viren
 virus
 whatever@
 whoever@
 winrar
 winzip
 you@
 yourname 

Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием:

 
 [ссылка]
 [ссылка]
 
 Ich bin immer noch kein Spammer!
 Aber sollte vielleicht einer werden :)
 
 In diesem Sinne 

Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке.

По всем остальным адресам идет рассылка писем на английском языке.

В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки.

Прочее

Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов:

 
 free.pages.at
 home.arcor.de
 home.pages.at
 people.freenet.de
 scifi.pages.at

Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки:

 
 fxsob
 gcas
 gcip
 giantanti
 inetupd.
 microsoftanti
 hijack
 nod32kui
 nod32.
 sober
 s-t-i-n-g