Email-Worm.Win32.Sober.y

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.

Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.

Инсталляция

После запуска червь выдает окно, содержащее следующее сообщение об ошибке:

 Error in packed Header

При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:

  
  %Windir%\WinSecurity\csrss.exe
  %Windir%\WinSecurity\services.exe
  %Windir%\WinSecurity\smss.exe

Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:

  %Windir%\WinSecurity\mssock1.dli
  %Windir%\WinSecurity\mssock2.dli
  %Windir%\WinSecurity\mssock3.dli
  %Windir%\WinSecurity\winmem1.ory
  %Windir%\WinSecurity\winmem2.ory
  %Windir%\WinSecurity\winmem3.ory
  

После чего червь регистрирует себя в ключах автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Windows"="%Windir%\WinSecurity\services.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "_Windows"="%Windir%\WinSecurity\services.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает свои версии в кодировке base64 со следующими именами:

  %Windir%\WinSecurity\socket1.ifo
  %Windir%\WinSecurity\socket2.ifo
  %Windir%\WinSecurity\socket3.ifo
  

Также червь создает пустые файлы в системном каталоге Windows с различными именами:

  %System%\bbvmwxxf.hml
  %System%\filesms.fms
  %System%\langeinf.lin
  %System%\nonrunso.ber
  %System%\rubezahl.rub
  %System%\runstop.rst
  

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.

  abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bak
  bas
  cfg
  cgi
  cls
  cms
  csv
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
  imb
  imh
  imh
  imm
  inbox
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  nws
  ods
  oft
  php
  phtm
  pl
  pmr
  pp
  ppt
  pst
  rtf
  shtml
  slk
  sln
  stm
  tbb
  txt
  uin
  vap
  vbs
  vcf
  wab
  wsh
  xhtml
  xls
  xml
  

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:

  gmx.
  .de
  .li
  .ch
  .at
  

При этом имя отправителя зараженных писем может включать в себя следующие строки:

  @bka
  @cia
  @fbi
  @rtl
  

Тема письма:

  
      * Account Information
      * Ermittlungsverfahren wurde eingeleitet
      * hi, ive a new mail address
      * Ihr Passwort
      * Mail delivery failed
      * Mailzustellung wurde unterbrochen
      * Paris Hilton & Nicole Richie
      * Registration Confirmation
      * RTL: Wer wird Millionaer
      * Sehr geehrter Ebay-Kunde
      * Sie besitzen Raubkopien
      * smtp mail failed
      * SMTP Mail gescheitert
      * You visit illegal websites
      * Your IP was logged
      * Your Password

Текст письма:

  
      *
  
        Account and Password Information are attached!
        ***** Go to: http://www.[имя домена получателя]
        ***** Email: postman@[имя домена получателя]
      *
  
        Protected message is attached!
        ***** Go to: http://www.[имя домена получателя]
        ***** Email: postman@[имя домена получателя]
      *
  
        This is an automatically generated Delivery Status Notification.
  
        SMTP_Error []
        I'm afraid I wasn't able to deliver your message.
        This is a permanent error; I've given up. Sorry it didn't work out.
  
        The full mail-text and header is attached!
      *
  
        hey its me, my old address dont work at time. i dont know why?!
        in the last days ive got some mails. i' think thaz your mails but im not sure!
        plz read and check ...
        cyaaaaaaa
      *
  
        Dear Sir/Madam,
  
        we have logged your IP-address on more than 30 illegal Websites.
  
        Important:
        Please answer our questions!
        The list of questions are attached.
  
        Yours faithfully,
        Steven Allison
  
        *** Federal Bureau of Investigation -FBI-
        *** 935 Pennsylvania Avenue, NW, Room 3220
        *** Washington, DC 20535
        *** phone: (202) 324-3000
        Dear Sir/Madam,
  
        we have logged your IP-address on more than 30 illegal Websites.
  
        Important:
        Please answer our questions!
        The list of questions are attached.
  
        Yours faithfully,
        Steven Allison
  
        ++++ Central Intelligence Agency -CIA-
        ++++ Office of Public Affairs
        ++++ Washington, D.C. 20505
        ++++ phone: (703) 482-0623
        ++++ 7:00 a.m. to 5:00 p.m., US Eastern time
      *
  
        The Simple Life:
  
        View Paris Hilton & Nicole Richie video clips , pictures & more ;)
        Download is free until Jan, 2006!
  
        Please use our Download manager.
      *
  
        Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
  
        *** http://www.[имя домена получателя]
        *** E-Mail: PassAdmin@[имя домена получателя]
      *
  
        Sehr geehrte Dame, sehr geehrter Herr,
  
        das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
        Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst
   wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein 
  Ermit
  
        Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den 
  naechsten Tagen schriftlic
  
        Aktenzeichen NR.:# (siehe Anhang)
  
        Hochachtungsvoll
        i.A. Juergen Stock
  
        --- Bundeskriminalamt BKA
        --- Referat LS 2
        --- 65173 Wiesbaden
        --- Tel.: +49 (0)611 - 55 - 12331 oder
        --- Tel.: +49 (0)611 - 55 – 0
      *
  
        Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
        Sie sitzen demnaechst bei Guenther Jauch im Studio!
        Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
  
        +++ RTL interactive GmbH
        +++ Geschaeftsfuehrung: Dr. Constantin Lange
        +++ Am Coloneum 1
        +++ 50829 Koeln
        +++ Fon: +49(0) 221-780 0 oder
        +++ Fon: +49 (0) 180 5 44 66 99
  

Имя файла-вложения:

  
      * admin.zip
      * akte.zip
      * downloadm.zip
      * ebay.zip
      * email.zip
      * email_text.zip
      * hostmaster.zip
      * info.zip
      * list.zip
      * mail.zip
      * mail_body.zip
      * mailtext.zip
      * postman.zip
      * postmaster.zip
      * question_list.zip
      * reg_pass.zip
      * reg_pass-data.zip
      * service.zip
      * webmaster.zip
  

Прочее

Sober.y пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:

  aswclnr
  avwin.
  brfix
  fxsbr
  gcas
  gcip
  giantanti
  guardgui.
  hijack
  inetupd.
  microsoftanti
  nod32.
  nod32kui
  s_t_i_n
  sober
  s-t-i-n
  stinger
  

Также червь пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool).