Название по номенклатуре: Email-worm.win32.sober.v
Семейство: sober
Размер файла: Упакован UPX. Размер в упакованном виде — около 128 КБ, размер в распакованном виде — около 264 КБ.
Инсталяция: При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\gdfjgthv.cvq
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение: Распространение через email. Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:
Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
Тема письма:
Действие на систему: Sober.v пытается найти и выгрузить из памяти процесс с именем MRT.EXE (Microsoft Windows Malicious Software Removal Tool). Завершение данного процесса делает систему более уязвимой.
Семейство: sober
Размер файла: Упакован UPX. Размер в упакованном виде — около 128 КБ, размер в распакованном виде — около 264 КБ.
Инсталяция: При инсталляции червь создает в корневом каталоге Windows папку ConnectionStatus\Microsoft и копирует себя в новую папку с именем services.exe:
%Windir%\ConnectionStatus\Microsoft\services.exe
Также в данной папке червь создает файл с именем concon.www для хранения в нем найденных на зараженном компьютере адресов электронной почты:
%Windir%\ConnectionStatus\Microsoft\concon.www
После чего червь регистрирует себя в ключах автозапуска системного реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinCheck"="%WinDir%\ConnectionStatus\Microsoft\services.exe"%System%\bbvmwxxf.hml
%System%\gdfjgthv.cvq
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение: Распространение через email. Для поиска адресов жертв червь сканирует файлы, имеющие расширения из приведенного ниже списка, и рассылает себя по всем найденным в них адресам электронной почты.
Код:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xmlХарактеристики зараженных писем
Червь рассылает зараженные письма с вложением в виде zip-архива. Архив содержит исполняемый файл червя. Текст письма может быть на английском или немецком языках:
Текст на немецком языке генерируется, если email-адрес получателя содержит следующие подстроки:
Код:
.at
.ch
.de
.li
gmx.Текст письма:
Имя файла-вложения:
Код:
* Liste.zip
* reg_text.zip