Les dernières alertes aux VirusAlias
Email-Worm.Win32.Sober.p (Kaspersky Lab) est également connu sous
le nom de:
W32/Sober.p@MM (McAfee)W32.Sober.O@mm (Symantec) Win32/Sober.Q@mm (RAV) WORM_SOBER.S (Trend Micro) Worm/Sober.P (H+BEDV)
Genre: Ver email
Status:Risque modéré
Détails techniquesCe ver se propage via l'Internet comme pièce-jointe attaché aux
messages infectés. Il s'envoie lui-même à toutes les adresses email
trouvées sur la machine victime.
Le Ver lui-même est un fichier PE .EXE. Il est écrit en Visual Basic
et compressé en employant UPX. La taille du fichier compressé est
approximativement de 53KB. Le fichier décompressé est d'environ de
185KB.
InstallationUne fois exécuté, le Ver affiche le message d'erreur suivant:
En s'installant, le Ver se copie lui-même dans les répertoires suivants sous les noms énumérés ci-dessous:
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
Il crée également des copies de lui-même dans le codage de la base 64:
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
Il crée les fichiers suivants, qui sont employés pour stocker des messages email collectés de la machine victime:
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
Il crée également les fichiers suivants:
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa
Le Ver change alors la base du registre du système pour s'assurer
qu'une copie du Ver sera exécuté chaque fois que Windows sera redémarré
sur la machine victime:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"WinStart" = "%Windows%\Connection Wizard\Status\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinStart" = "%Windows%\Connection Wizard\Status\services.exe"
Propagation via emailLe Ver collecte des adresses email des carnets d'adresses de Windows et à partir des fichiers avec les extensions suivantes:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Il s'envoie alors aux adresses email collectées en établissant une connexion directe sur le SMTP-Server du destinataire.
Le Ver n'envoie pas des messages aux adresses qui contiennent les chaines de caractères suivantes:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
#NAME?
Messages infectésLe Ver envoie les messages infectés avec des pièces-jointes sous
forme d'archives au format .Zip. L'attachement contient le fichier
exécutable du ver. Les messages sont en anglais ou en allemand.
En-tête du message(choisi au hasard à partir de la liste ci-dessous):
FwD: Glueckwunsch: Ihr WM Ticket
FwD: Ich bin's, was zum lachen
FwD: Ihr Passwort
FwD: Ihre E-Mail wurde verweigert
FwD: WM Ticket Verlosung
FwD: WM-Ticket-Auslosung
Re: mailing error
Re: Registration Confirmation
Re: Your email was blocked
Re: Your Password
Corps du message(choisi au hasard à partir de la liste ci-dessous):
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten
gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006
in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Account and Password Information are attached!
Visit: http:/ /www.[random domain]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Signature (choisi à partir de la liste ci-dessous):
AntiVirus: Kein Virus gefunden
AntiVirus: No Virus found
AntiVirus-System: Kein Virus erkannt
Attachment-Scanner: Status OK
Mail-Scanner: Es wurde kein Virus festgestellt
Server-AntiVirus: No Virus (Clean) http://www.[random domain]
WebSite: http:/ /www.[random domain]
Pièce-jointe attachée à l'email (choisi à partir de la liste ci-dessous):
_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
Fifa_Info-Text.zip
free_PassWort-Info.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip