Email-Worm.Win32.Sober.s

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — 113551 байт, размер в распакованном виде — 251791 байт.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus и копирует себя в новую папку с именем services.exe:

%Windir%\ConnectionStatus\services.exe

После чего червь регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "WinInet"="%Windir%\ConnectionStatus\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "_WinInet"="%Windir%\ConnectionStatus\services.exe"

Также червь создает свою версию в кодировке base64 с именем netslot.nst:

%Windir%\ConnectionStatus\netslot.nst

Также червь создает следующий файл для хранения в нем найденных на зараженном компьютере адресов электронной почты:

%Windir%\ConnectionStatus\socket.dli

Также червем создаются файлы в системном каталоге Windows с различными именами:

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приводимого ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

aero
com
coop
edu
gov
info
int
museum
name
net
org
pro

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:

Тема письма:

  • Fwd: Klassentreffen
  • Your new Password

Текст письма:

  • ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
    ich habe jedenfalls mal unser klassenfoto von damals mit angehngt.
    wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

    wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

    liebe gr
    <подпись, выбираемая из приведенного ниже списка>

    • Rita
    • Sandra
    • Nicole
    • Hannelore
    • Kerstin
    • Elke
  • Your password was successfully changed!
    Please see the attached file for detailed information.

Имя файла-вложения:

  • KlassenFoto.zip
  • pword_change.zip