Email-Worm.Win32.Sober.s

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Т name=doc1>ехнические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — 113551 байт, размер в распакованном виде — 251791 байт.

Инсталляция

После запуска червь выдает окно, содержащее следующую ошибку:

При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus и копирует себя в новую папку с именем services.exe:

%Windir%\ConnectionStatus\services.exe

После чего червь регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "WinInet"="%Windir%\ConnectionStatus\services.exe"
 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "_WinInet"="%Windir%\ConnectionStatus\services.exe"

Также червь создает свою версию в кодировке base64 с именем netslot.nst:

%Windir%\ConnectionStatus\netslot.nst

Также червь создает следующий файл для хранения в нем найденных на зараженном компьютере адресов электронной почты:

%Windir%\ConnectionStatus\socket.dli

Также червем создаются файлы в системном каталоге Windows с различными именами:

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приводимого ниже списка и рассылает себя по всем найденным в них адресам электронной почты.

abc
 abd
 abx
 adb
 ade
 adp
 adr
 asp
 bak
 bas
 cfg
 cgi
 cls
 cms
 csv
 ctl
 dbx
 dhtm
 doc
 dsp
 dsw
 eml
 fdb
 frm
 hlp
 imb
 imh
 imh
 imm
 inbox
 ini
 jsp
 ldb
 ldif
 log
 mbx
 mda
 mdb
 mde
 mdw
 mdx
 mht
 mmf
 msg
 nab
 nch
 nfo
 nsf
 nws
 ods
 oft
 php
 phtm
 pl
 pmr
 pp
 ppt
 pst
 rtf
 shtml
 slk
 sln
 stm
 tbb
 txt
 uin
 vap
 vbs
 vcf
 wab
 wsh
 xhtml
 xls
 xml

Для отправки почты червь использует прямое подключение к SMTP-серверу получателя.

Игнорируется отправка писем на адреса, содержащие строки:

aero
 com
 coop
 edu
 gov
 info
 int
 museum
 name
 net
 org
 pro

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:

Тема письма:

  • Fwd: Klassentreffen
  • Your new Password

Текст письма:

  • ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
    ich habe jedenfalls mal unser klassenfoto von damals mit angehngt.
    wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

    wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

    liebe gr
    <подпись, выбираемая из приведенного ниже списка>

    • Rita
    • Sandra
    • Nicole
    • Hannelore
    • Kerstin
    • Elke
  • Your password was successfully changed!
    Please see the attached file for detailed information.

Имя файла-вложения:

  • KlassenFoto.zip
  • pword_change.zip
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.