I-Worm.Sober.i
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.
Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.
Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.
Инсталляция
Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.
После запуска червь выводит на экран ложное сообщение об ошибке:
WinZip Self-Extractor WinZip_Data_Module is missing ~Error:
Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:
32 crypt data diag dir disc expolrer host log run service smss32 spool sys win
Например, "windiag.exe" и "data.exe".
Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайный ключ>"="%System%\<имя файла червя>" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "<случайный ключ>"="%System%\<имя файла червя>"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:
clonzips.ssc clsbern.isc cvqaikxt.apk dgssxy.yoi nonzipsr.noz Odin-Anon.Ger sysmms32.lla zippedsr.piz
Размножение
Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp |
imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods |
oft php pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml |
Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.
Найденные адреса электронной почты червь сохраняет в файлах с именами:
winexerun.dal winmprot.dal winroot64.dal winsend32.dal
Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.
Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.
Прочее
Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.
Ваша приватность умирает красиво, но мы можем спасти её.