Security Lab

I-Worm.Sober.i

I-Worm.Sober.i

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Сетевой червь, распространяющийся по электронной почте в виде файлов, прикрепленных к зараженным письмам.

Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде 56808 байт.

Инсталляция

Червь активизируется, только если пользователь самостоятельно открывает вложенный файл.

После запуска червь выводит на экран ложное сообщение об ошибке:

WinZip Self-Extractor
  WinZip_Data_Module is missing ~Error:

Создает в системном каталоге Windows два EXE-файла с именами, формируемыми из следующих частей:

32
  crypt
  data
  diag
  dir
  disc
  expolrer
  host
  log
  run
  service
  smss32
  spool
  sys
  win

Например, "windiag.exe" и "data.exe".

Данные файлы являются основными компонентами червя, производящими сбор адресов и рассылку копий червя по электронной почте.

Червь регистрирует себя в ключе автозагрузки системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "<случайный ключ>"="%System%\<имя файла червя>"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "<случайный ключ>"="%System%\<имя файла червя>"

Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

clonzips.ssc
  clsbern.isc
  cvqaikxt.apk
  dgssxy.yoi
  nonzipsr.noz
  Odin-Anon.Ger
  sysmms32.lla
  zippedsr.piz

Размножение

Червь ищет адреса email на жестких дисках в файлах с расширениями из приводимого ниже списка и рассылает на найденные зараженные письма.

abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bak
  bas
  cfg
  cgi
  cls
  cms
  csv
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
imb
  imh
  imh
  imm
  inbox
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  nws
  ods
oft
  php
  pl
  pmr
  pp
  ppt
  pst
  rtf
  shtml
  slk
  sln
  stm
  tbb
  txt
  uin
  vap
  vbs
  vcf
  wab
  wsh
  xhtml
  xls
  xml

Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Найденные адреса электронной почты червь сохраняет в файлах с именами:

winexerun.dal
  winmprot.dal
  winroot64.dal
  winsend32.dal

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые составляются из нескольких доступных частей.

Имя вложения также может варьироваться. Допустимы расширения pif, zip и bat.

Прочее

Червь может загружать с удаленных сайтов на зараженный компьютер любые файлы и запускать их.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь