W32/Sober.k@MM
Adatlap
- Felfedezés időpontja: 2005.01.30.
- Eredet: Ismeretlen
- Hossz (bájt): 43247 (UPX tömörített)
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4424
- Szükséges keresőmotor: 4.3.20
Leírás módosítva: 2005.01.31. 18:35
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Megjegyzés: Ha olyan emailt kap, amelyben a feladó azt állítja, hogy egy ön által küldött email vírust tartalmazott, nem okvetlenül jelenti azt, hogy az ön gépe ténylegesen fertőzött, mert a vírusok gyakran hamisítják a feladó címét.
Tulajdonságok
A vírus a Sober család egy új variánsa, melyet VB nyelven írtak. Tömeges levelezéssel terjed, főbb tulajdonságai:
- saját SMTP motorja van
- a feladót és a címet a fertőzött gépről gyűjti, ezeket DATAMX.DAM néven a %SysDir% könyvtárba írja. Pl.: C:\WINNT\SYSTEM32\DATAMX.DAM
- a kimenő levél lehet angol vagy német nyelvű
A kiszemelt áldozatok email címeit a megtámadott/megfertőzött gépről gyűjti. és a DATAMX.DAM állományban tárolja a %SysDir% könytárban, például:
- C:\WINNT\SYSTEM32\DATAMX.DAM
A vírus német vagy angol szövegű elektronikus leveleket generál a címzett mail-címétől függően. Német nyelvű üzenetet kapnak az alábbi mail-tartományokba tartozó címek tulajdonosai:
- .de
- .at
- .ch
Német verzió
Tárgy: Ey du DOOF Nase, warum beantw...
Üzenettörzs:
Warum beantwortest Du meine E-Mails nicht?
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit Winzip klei ner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....
Csatolt állomány: Texte.zipAngol verzió
Tárgy: I've got YOUR email on my account!!
Üzenettörzs:
Hello,
First, Sorry for my very bad English!
Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a name & ad ress. I think it's your name and adress.
In the last 8 days i've got 7 mails in my mail-box, but the recipient are you, not me. lol OK,
I've copied all email text in the Windows Text-Editor and i've zipped the t ext file with WinZip. The sender of this mails is in the text file, too.
bye
Csatolt állomány:
- EMAIL_TEXT.ZIP vagy
- TEXT.ZIP
A ZIP MAIL_TEXT-INFO.TXT (sok szóköz) .PIF néven tartalmazza magát a vírust.
Terjedés e-mailben
A címzett sürgős jelzéssel kapja a levelet:
A vírus az alábbi állomány-típusokat vizsgálja meg, mail-címek után kutatva bennük:
abc; abd; abx; adb; ade; adp; adr; asp; bak; bas; cfg; cgi; cls; cms; csv; ctl; dbx; dhtm; doc; dsp; dsw; eml; fdb; frm; hlp; imb; imh; imh; imm; inbox; ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx; mht; mmf; msg; nab; nch; nfo; nsf; nws; ods; oft; php; phtm; pl; pmr; pp; ppt; pst; rtf; shtml; slk; sln; stm; tbb; txt; uin; vap; vbs; vcf; wab; wsh; xhtml; xls; xml;
A vírus nem továbbítja magát azokra a címekre, amelyek az alábbi karakterfüzérek bármelyikét tartalmazzák:
- .dial.
- .kundenserver.
- .ppp.
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @nai.
- @panda
- @smtp.
- @sophos
- @www
- abuse
- announce
- antivir
- anyone
- anywhere
- bellcore.
- bitdefender
- clock
- -dav
- detection
- domain.
- emsisoft
- ewido.
- freeav
- free-av
- ftp.
- gold-certs
- host.
- icrosoft.
- info@
- ipt.aol
- law2.
- linux
- mailer-daemon
- me@
- mozilla
- mustermann@
- nlpmail01.
- noreply
- nothing
- ntp-
- ntp.
- ntp@
- office
- password
- postmas
- qmail@
- reciver@
- secure
- service
- smtp-
- somebody
- someone
- spybot
- sql.
- subscribe
- sul.t-
- support
- t-dialin
- test@
- time
- t-ipconnect
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
Végrehajtáskor az alábbi szöveg jelenik meg a fertőzött gépen:
A fertőzött gépen az alábbi sztringekből és Registry kulcsokból szerkesztett fájlnevekkel installálja magát a féreg:
- sys
- host
- dir
- expoler
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
A fájlnevek mindig EXE kiterjesztésűek. Pl.:
- C:\WINDOWS\SYSTEM32\SYSSPOOLDISC.EXE
Az alábbi fájlokat is elhelyezi a %SysDir% könyvtárban:
- DATAMX.DAM (ez tartalmazza az email címeket)
- DGSFZIPP.GMX (59.504 byte, a vírus base64 kódú ZIP)
További, 0 byte hosszúságú fájlokat is generál:
- dgssxy.yoi (0 bytes)
- nonrunso.ber (0 bytes)
- Odin-Anon.Ger (0 bytes)
- Sysmms32.lla (0 bytes)
A vírus két Registry kulcsot készít, hogy a rendszerindításkor betöltődjék:
- HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe(ahol %SYSDIR% a C:\Windows\System32 vagy C:\Winnt\System32 könyvtár)
Hálózati terjedés
A fertőzés akkor következik be, amikor a vírus elküldi önmagát a lokális hálózaton lévő címekre, majd a felhasználó lefuttatja az üzenethez csatolt állományt.
A hálózaton a vírus jelenlétére az alábbi tünetek utalnak:
- Kimenő levelek a már leírt jellemzőkkel
- Nem várt NTP forgalom a 37-es porton
- Nem várt kimenő DNS kérések az alábbi domain-ek valamelyikére:
- microsoft.com
- bigfoot.com
- yahoo.com
- t-online.de
- google.com
- hotmail.com
A vírus megpróbál állományokat letölteni és futtatni az alábbi HTTP címekről:
- people.freenet.de/[omitted]/vgan.ncy
- people.freenet.de/[omitted]/kdeu.exe
- people.freenet.de/[omitted]/mivrb.exe
- people.freenet.de/[omitted]/rop.umu
- free.pages.at/[omitted]/svoo.exe
- home.arcor.de/[omitted]/qyy.hrh
- home.pages.at/[omitted]/cojfx.hyfgo
- scifi.pages.at/[omitted]/qsfqs.alxe
A dokumentáció készítésekor az említett oldalakon nem találhatók végrehajtható állományok.
Eltávolítás
Valamennyi felhasználó:
A fenti keresőmotor és DAT fájl segítségével, illetve az EXTRA.DAT használatával. Ezek azonban csak akkor hatásosak, ha a vírus nem töltődött be a memóriába.Fontos: A fertőzés jellegéből adódóan a 4.4.00 -es keresőmotor szükséges a vírus felderítésére és a tisztításra, ha már aktivizálódott.
A rendszer Registry-ben és/vagy az INI fájlokban végrehajtott módosítások (rendszer indítás) miatt a sikeres tisztítás a fenti kereső motor - DAT fájl kombinációval lehetséges.
Kézi eltávolítás
A vírus folyamatait le kell állítani a Task Manager segítségével. Első lépésként a vírus két futó folyamatát kell leállítani. A vírus változó fájlneveket konstruál:
- sys
- host
- dir
- expoler
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
Például:
- datadiscwin.exe
- cryptservice.exe
- runlog32.exe
Az alábbi Registry kulcsokat a rendszer indításakor használja a vírus:
- HKLM\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
- HKCU\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
- HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
- HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
Keresse meg a kulcsokat, és azonosítsa azt a két fájlnevet, amelyet a vírus használ. Nyissa meg a Feladatkezelőt (Task Manager), kapcsoljon a 'Folyamatok' (Processes) fülre, keresse meg a fenti folyamatokat és állítsa le azokat a Folyamat leállítása (End Process) gombbal.
A folyamat leállítása után törölje azokat a Registry-ből.
Egyedi eltávolító program: McAfee Stinger.
Egyéb elnevezések
Email-Worm.Win32.Sober.j (AVP) W32.Sober.J@mm (Symantec) W32/Reblin W32/Sober-J (Sophos) WORM_SOBER.J (Trend)
