W32/Sober@MM!M681
Adatlap
- Felfedezés időpontja: 2005.11.22
- Eredet: Ismeretlen
- Hossz (bájt): 55390 bájt
- Típus: Vírus
- Altípus: e-mail
- Szükséges adatbázis: 4629
Javasolt adatbázis: 4635- Szükséges keresőmotor: 4.4.00
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Tulajdonságok
A McAfee víruskeresők a vírust a 4629-es adatbázisok, 2005. november 16.-a óta felismerik, W32/Sober.gen@MM néven. A 4635-ös adatbázisoktól kezdve a vírust W32/Sober@MM!M681 néven ismerik fel.
Ez a Sober variáns november 21.-e óta terjed levélmellékletként, melyet változó tartalmú, angol vagy német nyelvű levelekhez mellékelve küld.
Néhány példa:
- Tárgy: hi, ive a new mail address
Üzenettörzs:
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
- Tárgy: Registration Confirmation
vagy
Tárgy: Your Password
Üzenettörzs: Account and Password Information are attached!
- Tárgy: Paris Hilton & Nicole Richie
Üzenettörzs:
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
- Tárgy: You visit illegal websites
Üzenettörzs:
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
- Tárgy: You visit illegal websites
Üzenettörzs:
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
- Tárgy: Registration_Confirmation
Üzenettörzs:
Protected message is attached!
***** Go to: http://www.your_domain
***** Email: postman@your_domain
- Üzenettörzs:
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
- Üzenettörzs:
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
- Üzenettörzs:
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen DankA lehetséges mellékletek a következők:
- reg_pass-data.zip
- reg_pass.zip
- question_list.zip
- mailtext.zip
- mail_body.zip
- mail.zip
- list.zip
- email_text.zip
A tömörített állomány a file-packed_datainfo.exe fájlt tartalmazza, mérete 55,390 bájt.
Tünetek
A megnyitott mellékletben található .exe lefuttatásakor ál-hibaüzenet jelenik meg:
Ablak fejléce: WinZip Self-Extractor
Ablak tartalma: Error in packed HeaderA Sober vírus ezalatt egy WinSecurity könyvtárat hoz létre a Windows könyvtáron belül. A könyvtárban létrehozott fájlok a következők:
- csrss.exe - a vírus egy példánya
- mssock1.dli - emailcím információk
- mssock2.dli - emailcím információk
- mssock3.dli - emailcím információk
- services.exe - a vírus egy példánya
- smss.exe - a vírus egy példánya
- socket1.ifo - MIME kódolású achív állomány, a vírust tartalmazza
- socket2.ifo - MIME kódolású achív állomány, a vírust tartalmazza
- socket3.ifo - MIME kódolású achív állomány, a vírust tartalmazza
- starter.run - 0 bájt méretű...
- winmem1.ory - begyűjtött emailcímek
- winmem2.ory - begyűjtött emailcímek
- winmem3.ory - begyűjtött emailcímek
Az alábbi két registry bejegyzés gondoskodik a vírus automatikus betöltődéséről
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"_Windows" = C:\WINDOWS\WinSecurity\services.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Windows" = C:\WINDOWS\WinSecurity\services.exeA vírus a következő időszerverekhez kapcsolódik:
ntps1-1.uni-erlangen.de time.mit.edu tick.greyware.com tock.keso.fi ntp2c.mcc.ac.uk ntp1.theremailer.net time.chu.nrc.ca time-a.timefreq.bldrdoc.gov time.nrc.ca ntp.massayonet.com.br ntp2b.mcc.ac.uk ntp2.ien.it nist1.datum.com swisstime.ethz.ch clock.psu.edu time.ien.it ptbtime2.ptb.de Rolex.PeachNet.edu ntp.metas.ch ntp3.fau.de utcnist.colorado.edu sundial.columbia.edu vega.cbk.poznan.pl ntp0.cornell.edu ntp-sop.inria.fr rolex.usg.edu time.xmission.com st.ntp.carnet.hr ntp-1.ece.cmu.edu time.nist.gov ntp.lth.se cuckoo.nevada.edu ntp-2.ece.cmu.edu time.kfki.hu ntp.pads.ufrj.br time-ext.missouri.edu ntp1.arnes.si timelord.uregina.ca gandalf.theunixman.com
A fertőzés menete
A programféreg e-mailen terjed. A cél-címeket a rendszeren található olyan fájlokból gyűjti, amelyek kiterjesztése az alábbi listában megtalálható:
pmr; phtm; stm; slk; inbox; imb; csv; bak; imh; xhtml; imm; imh; cms; nws; vcf; ctl; dhtm; cgi; pp; ppt; msg; jsp; oft; vbs; uin; ldb; abc; pst; cfg; mdw; mbx; mdx; mda; adp; nab; fdb; vap; dsp; ade; sln; dsw; mde; frm; bas; adr; cls; ini; ldif; log; mdb; xml; wsh; tbb; abx; abd; adb; pl; rtf; mmf; doc; ods; nch; xls; nsf; txt; wab; eml; hlp; mht; nfo; php; asp; shtml; dbx
A vírus a következő folyamatok leállításával próbálkozik:
- microsoftanti
- gcas
- gcip
- giantanti
- inetupd.
- nod32kui
- nod32.
- fxsbr
- avwin.
- guardgui.
- aswclnr
- stinger
- hijack
- sober
- brfix
- s_t_i_n
- s-t-i-n
Eltávolítási utasítások
Használja az aktuális adatbázist és keresőmotort.
Egyéb elnevezések
Sober.Y (F-Secure) W32.Sober.X@mm (Symantec) W32/Sober@MM!CME-681 WORM_SOBER.AG (Trend)