Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 128 КБ, размер в распакованном виде — около 264 КБ.
Инсталляция
После запуска червь выдает окно, содержащее следующее сообщение:
Error: Text-File not complete
При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml %System%\gdfjgthv.cvq %System%\langeinf.lin %System%\nonrunso.ber %System%\rubezahl.rub %System%\runstop.rst
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках.
Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
.at .ch .de .li gmx.
Тема письма:
* Hi, Ich bin's * Thanks for your registration.
Текст письма:
* Thanks for your registration! We have received your payment. For more detailed information, read the attached text. * Hier ist die Liste die du haben wolltest. Du solltest dich aber auch eintragen! OK, bis dann
Имя файла-вложения:
* Liste.zip * reg_text.zip
Прочее
Sober.v пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.