Название по номенклатуре: Email-worm.win32.sober.y
Семейство: sober
Размер файла: Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.
Инсталяция: После запуска червь выдает окно, содержащее следующее сообщение об ошибке: Error in packed header.
При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:
%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe
Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
После чего червь регистрирует себя в ключах автозапуска системного реестра:
Также червь создает свои версии в кодировке base64 со следующими именами:
%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение: Распространение через email.
Какие авторы писем, их текст и аттачи перечислять не буду. Вот заголовки:
Семейство: sober
Размер файла: Размер в упакованном виде — 55390 байт, размер в распакованном виде — около 198750 байт.
Инсталяция: После запуска червь выдает окно, содержащее следующее сообщение об ошибке: Error in packed header.
При инсталляции червь создает в корневом каталоге Windows папку WinSecurity и 3 раза копирует себя в новую папку со следующими именами:
%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe
Также в данной папке червь создает следующие файлы для хранения в них найденных на зараженном компьютере адресов электронной почты:
%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory
После чего червь регистрирует себя в ключах автозапуска системного реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows"="%Windir%\WinSecurity\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows"="%Windir%\WinSecurity\services.exe"%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo
Также червь создает пустые файлы в системном каталоге Windows с различными именами:
%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst
Распространение: Распространение через email.
Какие авторы писем, их текст и аттачи перечислять не буду. Вот заголовки:
Код:
* Account Information
* Ermittlungsverfahren wurde eingeleitet
* hi, ive a new mail address
* Ihr Passwort
* Mail delivery failed
* Mailzustellung wurde unterbrochen
* Paris Hilton & Nicole Richie
* Registration Confirmation
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
* Sie besitzen Raubkopien
* smtp mail failed
* SMTP Mail gescheitert
* You visit illegal websites
* Your IP was logged
* Your Password