Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX.
Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение об ошибке:
Error in packed Header
При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:
%Windir%\WinSecurity\csrss.exe %Windir%\WinSecurity\services.exe %Windir%\WinSecurity\smss.exe
Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli %Windir%\WinSecurity\mssock2.dli %Windir%\WinSecurity\mssock3.dli %Windir%\WinSecurity\winmem1.ory %Windir%\WinSecurity\winmem2.ory %Windir%\WinSecurity\winmem3.ory
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Windows"="%Windir%\WinSecurity\services.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "_Windows"="%Windir%\WinSecurity\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает свои версии в кодировке base64 со следующими именами:
%Windir%\WinSecurity\socket1.ifo %Windir%\WinSecurity\socket2.ifo %Windir%\WinSecurity\socket3.ifo
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml %System%\filesms.fms %System%\langeinf.lin %System%\nonrunso.ber %System%\rubezahl.rub %System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках. Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
gmx. .de .li .ch .at
При этом имя отправителя зараженных писем может включать в себя следующие строки:
@bka @cia @fbi @rtl
Тема письма:
* Account Information * Ermittlungsverfahren wurde eingeleitet * hi, ive a new mail address * Ihr Passwort * Mail delivery failed * Mailzustellung wurde unterbrochen * Paris Hilton & Nicole Richie * Registration Confirmation * RTL: Wer wird Millionaer * Sehr geehrter Ebay-Kunde * Sie besitzen Raubkopien * smtp mail failed * SMTP Mail gescheitert * You visit illegal websites * Your IP was logged * Your Password
Текст письма:
* Account and Password Information are attached! ***** Go to: http://www.[имя домена получателя] ***** Email: postman@[имя домена получателя] * Protected message is attached! ***** Go to: http://www.[имя домена получателя] ***** Email: postman@[имя домена получателя] * This is an automatically generated Delivery Status Notification. SMTP_Error [] I'm afraid I wasn't able to deliver your message. This is a permanent error; I've given up. Sorry it didn't work out. The full mail-text and header is attached! * hey its me, my old address dont work at time. i dont know why?! in the last days ive got some mails. i' think thaz your mails but im not sure! plz read and check ... cyaaaaaaa * Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison *** Federal Bureau of Investigation -FBI- *** 935 Pennsylvania Avenue, NW, Room 3220 *** Washington, DC 20535 *** phone: (202) 324-3000 Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison ++++ Central Intelligence Agency -CIA- ++++ Office of Public Affairs ++++ Washington, D.C. 20505 ++++ phone: (703) 482-0623 ++++ 7:00 a.m. to 5:00 p.m., US Eastern time * The Simple Life: View Paris Hilton & Nicole Richie video clips , pictures & more ;) Download is free until Jan, 2006! Please use our Download manager. * Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang. *** http://www.[имя домена получателя] *** E-Mail: PassAdmin@[имя домена получателя] * Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic Aktenzeichen NR.:# (siehe Anhang) Hochachtungsvoll i.A. Juergen Stock --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 – 0 * Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck. Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. +++ RTL interactive GmbH +++ Geschaeftsfuehrung: Dr. Constantin Lange +++ Am Coloneum 1 +++ 50829 Koeln +++ Fon: +49(0) 221-780 0 oder +++ Fon: +49 (0) 180 5 44 66 99
Имя файла-вложения:
* admin.zip * akte.zip * downloadm.zip * ebay.zip * email.zip * email_text.zip * hostmaster.zip * info.zip * list.zip * mail.zip * mail_body.zip * mailtext.zip * postman.zip * postmaster.zip * question_list.zip * reg_pass.zip * reg_pass-data.zip * service.zip * webmaster.zip
Прочее
Sober.y пытается выгрузить из системы различные процессы, содержащие в именах следующие строки:
aswclnr avwin. brfix fxsbr gcas gcip giantanti guardgui. hijack inetupd. microsoftanti nod32. nod32kui s_t_i_n sober s-t-i-n stinger
Также червь пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool).