Network Security Distributor
 
   
 SYMBOLIC
 Antivirus Security Division
 
 27 Ottobre 2003
 
 NOME: Sober
 ALIAS: I-Worm.Sober

Descrizione Breve

Sober è un worm della posta che invia messagi in Inglese e in Tedesco. Si maschera come un avviso per un possibile nuovo worm e un aggiornamento inviato da un produttore di Anti-Virus. Il worm usa allegati con nomi quali: anti_virusdoc.pif, check-patch.bat, playme.exe.

Sober è compresso con una versione modificata di UPX ed è stato scritto in Visual Basic. Possiede un proprio motore SMTP che viene usato quando invia nuovi messaggi

Installazione nel sistema

Il worm modifica il registro di sistema nel seguente modo:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

facendo puntare le chiavi precedenti all'eseguibile che rappresenta il worm. Alcuni dei possibili nomi usati sono:

%SysDir%\similare.exe
%SysDir%\sysrunll.exe

Diffusione via E-mail

Sober simula vari client di posta usando gli header:

X-Mailer: Microsoft Outlook Express 6.00.260
X-Mailer: Microsoft Outlook Express 5.00.301
X-Mailer: Safety_Mail Server
X-Mailer: Microsoft Outlook IMO, Build 9.0.2
X-Mailer: Microsoft Outlook IMO, Build 9.0.


Il worm invia messaggi con i seguenti oggetti:

Neuer Virus im Umlauf!
Back At The Funny Farm
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich

I nome degli allegati sono scelti fra:

AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
CM-Recover.com
Bild.scr
schnitzel.exe
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
check-patch.bat
anti_virusdoc.pif
perversion.scr
removal-tool.exe
screen_doc.scr
potency.pif
CM-Recover.com
pic.scr
playme.exe
robot_mailer.pif
private.exe
anti-trojan.exe
love.com
nacked.com
anti-Sob.bat
NAV.pif
funny.scr
little-scr.scr

Rilevazione


F-Secure Anti-Virus è in grado di rilevare il worm con gli aggiornamenti pubblicati il 24 Ottobre 2003:

[FSAV_Database_Version]

Version=2003-10-24_01

F-Secure Corporation


  Contatti | Dove Siamo | Trademark