Security Lab

Email-Worm.Win32.Sober.v

Email-Worm.Win32.Sober.v

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде — около 128 КБ, размер в распакованном виде — около 264 КБ.

Инсталляция

После запуска червь выдает окно, содержащее следующее сообщение:

  Error: Text-File not complete 

При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:

  %Windir%\ConnectionStatus\Microsoft\services.exe
  

Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:

  
  %Windir%\ConnectionStatus\Microsoft\concon.www
  

После чего червь регистрирует себя в ключах автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает пустые файлы в системном каталоге Windows с различными именами:

  %System%\bbvmwxxf.hml
  %System%\gdfjgthv.cvq
  %System%\langeinf.lin
  %System%\nonrunso.ber
  %System%\rubezahl.rub
  %System%\runstop.rst
  

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.

  abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bak
  bas
  cfg
  cgi
  cls
  cms
  csv
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
  imb
  imh
  imh
  imm
  inbox
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  nws
  ods
  oft
  php
  phtm
  pl
  pmr
  pp
  ppt
  pst
  rtf
  shtml
  slk
  sln
  stm
  tbb
  txt
  uin
  vap
  vbs
  vcf
  wab
  wsh
  xhtml
  xls
  xml
  

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках.

Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:

  .at
  .ch
  .de
  .li
  gmx.

Тема письма:

  
      * Hi, Ich bin's
      * Thanks for your registration.
  

Текст письма:

  
      * Thanks for your registration!
        We have received your payment.
        For more detailed information, read the attached text.
      * Hier ist die Liste die du haben wolltest.
        Du solltest dich aber auch eintragen!
        OK, bis dann
  

Имя файла-вложения:

  
      * Liste.zip
      * reg_text.zip

Прочее

Sober.v пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!