Descrizione Breve
Sober.C è un e-mail worm che si diffonde nei messaggi di posta
elettronica con differenti oggetti e testi nel corpo della mail. Questi
messaggi sono composti da stringhe di testo sia in Tedesco che in Inglese,
dipendentemente dal suffisso dell' indirizzo a cui viene inviata la mail.
Il worm può generare messaggi apparentemente provenienti da organi
di polizia che avvertono l'utente che il suo computer è stato controllato
e sono stati trovati musica, filmati e software illegale. Invita inoltre
di controllare l'allegato per avere ulteriori informazioni. L'allegato
ha estensione .TXT.EXE che in realtà contiene una copia del worm.
Il worm può inoltre inviare altri tipi di messaggi. In più
ha la possibilità di diffondersi nelle reti P2P (peer-to-peer).
Descrizione Dettagliata
Il worm è stato scritto in Visual Basic. E' stato compresso con
una versione modificata del compressore UPX. Il worm ha un suo SMTP interno
che utilizza per inviare mail infette.
Installazione nel sistema
Quando il worm viene eseguito, mostra un falso messaggio di errore:
Runtime Error
<file_name> has caused an unknown error.
dove <file_name> è il nome del file del worm. La messagebox
potrebbe essere leggermente differente ed avere testi addizionali:
Microsoft
<file_name> has caused an unknown error.
Stop: 00000010x08
Il worm si copia nella directory di sistema 3 volte, la prima con il nome
SYSHOSTX.EXE, ed altre due volte con una generazione pseudo random dei
nomi, ad esempio DIREXSYS.EXE oppure DXINBHEXDAT.EXE. Il worm usa le seguenti
stringhe di testo per generare i nomi dei files:
win
svc
task
sys
dll
host
end
dir
ms
run
ex
log
on
reg
ie
32
16
64
disk
api
app
con
mon
drv
crypt
dat
dx
diag
str
xp
hex
Il worm crea un file con il nome SAVESYSS.DLL, nel quale memorizza gli
indirizzi e-mail raccolti dal computer infetto. Nella stessa cartella
il worm crea altri due files, HUMGLY.LKUR e YFJQ.YQWM .
Il worm crea una serie di chiavi nel Registro di windows, per uno dei
file che ha generato:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Il worm crea inoltre una chiave di startup nella radice dell'albero HKEY_USERS:
[HKEY_USERS\<userID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Il nome della chiave che viene creata dal worm è anch'essa generata
casualmente. Il valore della sottochiave è il path di uno dei file
del worm nella directory di sistema di Windows.
Il worm ha sempre due processi nella memoria di sistema. Se uno dei due
task viene ucciso, verrà immmediatamente riattivato dall'altro.
Inoltre il worm riscrive le chiavi che mette nello startup ad intervalli
di tempo regolari. Questo rende la disinfezione manuale molto difficile.
Il worm blocca l'accesso in lettura ai due file generati in modo random
ed al file SAVESYSS.DLL
Diffusione via mail.
Il worm scandisce file con determinate estensioni per collezionare indirizzi
mail. I file con queste estensioni vengono scanditi:
htt
rtf
doc
xls
ini
mdb
txt
htm
html
wab
pst
fdb
cfg
ldb
eml
abc
ldif
nab
adp
mdw
mda
mde
ade
sln
dsw
dsp
vap
php
nsf
asp
shtml
shtm
dbx
hlp
mht
nfo
Il worm salva le mail raccolte nel file SAVESYSS.DLL nella directory
di installazione di windows. Questo è un file ASCII e non un binario.
MAnda messaggi con stringhe di testo in Inglese e Tedesco. Quando il
suffisso dell'indirizzo destinatario è DE, CH, AT, LI, NL or BE,
utilizza la lingua Tedesca, altrimenti vengono composte in Inglese.
Quando una mail viene mandata l'oggetto viene preso tra i seguenti:
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Per il body delle mail vengono utilizzati i seguenti testi:
i'm very very sorry, anybody have sent your mail to my address.
I've got your mail, but its came on my mail address???
i've read this mail ,,, sorry about that
excuse for my bad english, but I'm a Dutchman
sorry for my bad english, I am a Swede!
I don't know how to start this!
I'm dull,, can you test!?
cya
Here, the DigiCam photos. A few are overexposed.
cu
That you've killed this bastard.
Your reward:
That you have paid for me!
And that's your
list
card
picture
, too!
Caution: To all gamers
A new worm spread via online gaming!
You must change your internet configuration!!
see:
Attention: To all gamers
More than 75.000 freeware games!!!
Genre:
-> 8500 online games = 3D Shooter, RPG, Action, Adventure, ...
non online games:
-> Action = 4200 games
-> 3D Shooter's = 7500 games
-> RPG's = 6800 games
-> Adventure's = 5400 games
-> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000 ROM's
- others = 16900 games
all free!!
Download and enjoy
why do you do that?
You say in the www. that i'm a terrorist!!!
No way out for you. I REPORT YOU !
You've said THAT about me
Registration confirmation
registration confirmation
Thanks for your registration.
( We say Sorry again, the first mail was delivered to an unknown mail
address.
This was a bug in our mailing system! )
The amount of 239.- USD was deducted by your
Welcome,
you can now visit more than 1200 very very hot web pages!
Your registration, pages and passwords are
transferred
in the attachment.
I said, I love you..,, and you said NOTHING
And now,,, Go Away From Me
Here are my love-letter((s)) mock me mock me again and again .
Enjoy it. blablabla GO!
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by
law.
We hereby inform you that your computer was scanned under the IP
The contents of your computer were confiscated as an evidence, and you
will be indicated.
In the next days, you'll get the charge in writing.
You get the charge in writing, in the next days.
In the next days you will receive the charge in writing.
In the Reference code: #
are all files, that we found on your computer.
The sender address of this mail was masked,
to protect us against mail bombs.
to fend off mail bombs.
- You get more detailed information by the Federal Bureau of Investigation
-FBI-
- Department for
Illegal Internet Downloads
, Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000
hi
hello
, I am from
Belgium
Denmark
Norway
Switzerland
Austria
Spain
and you'll don't believe me,
but a trojan horse in on your
computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the
.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english!
greets
NEW!
More than 84.000 entries on our page:
All about:
Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, and and and
Games, Video's, Pic's, Cards, MP3s, Screen-saver, and and and
and many many more!
And NO DIALERS
only banner advertisers!!!
have fun
Nei messaggi in inglese il worm puo' spedirsi con attachment il cui nome
e' uno dei seguenti:
yourmail.txt.<ext>
yourmail.doc.<ext>
photos.<ext>
test.<ext>
reward.<ext>
youtoo.<ext>
set_config.<ext>
downloader.exe
www.freegames4you-gzone.com
www.onlinegamerspro-worm.com
idiot.<ext>
painfulness.<ext>
terror-list.<ext>
www.boards4all-terror432.com
account.<ext>
credit card.<ext>
yourregistration.txt.<ext>
letters.<ext>
refcode.txt.<ext>
mangaconection.<ext>
www.animepage43252.com
www.anime4allfree.com
Il worm compone gli allegati con le seguenti parti:
-patch
remove-
_tool
services
smss
lsass
Un esempio di file allegato potrebbe essere REMOVE-SMSS_TOOL.EXE.
Utilizza le seguenti estensioni per la prima o la seconda estenzione
del file:
bat
cmd
pif
scr
exe
com
Quando il worm manda messaggi in Tedesco può usare i seguenti
oggetti:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebestatigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
I seguenti corpi:
Hi, Ich bin's
Hallo, ich hoffe das ich jetzt mal
die richtige
den richtigen
erwischt habe.
Nach einigen Pleiten, Pech und Pannen habe ich jetzt einfach
das damalige Klassenfoto mitgeschickt.
Wenn du dich dort erkennst, melde dich, falls du es wieder einmal nicht
bist,
dann entschuldigen Sie bitte diese Storung.
Danke!
Guten Tag,
Ich bin wahrscheinlich zu
sind Sie auch der Meinung das Sie intelligenter sind,
als manch einer aus Ihren Umfeld glaubt!?
Dann beweisen Sie es. Auf unserer Homepage konnen sie es herausfinden.
Das sind naturlich Staatlich anerkannte psychologische Tests.
P.S.
Auf unsere Seite befinden sich keine Dialer oder Pop-up's, nur 2 Werbebanner.
Bei uns geht es noch ehrlich zu!!!
Sehr geehrte
Frau Meiers,
r Herr Westpfahl,
r Herr Salmanz,
Frau Bieders,
Wir mochten uns noch einmal fur unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimworter wurden selbstverstandlich kostenlos geandert.
Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Handen , hatte jede andere Person freie Einsicht
bzw. Verfugung uber Ihr Konto!
Mit freundlichen Grussen:
i.a: Regina Ruthers
+++ Bamberger Bank eG Raiffeisen-Volksbank
+++ Luitpoldstr. 19, 96052 Bamberg
+++ Telefon: 0951/8620 Kunden- Fax: 0951/862120
Seit einiger Zeit kursieren wieder gefahrlich neue Dialer und Wurmer
durchs Netz.
Bei uns konnen sie kostenlos via Online Scan testen, ob Ihr System infiziert
ist.
Weiterhin stellen wir zahllose Freeware Antiviren-Scanner zur Verfugung.
Naturlich sind auch alle aktuellen Patches von Microsoft & CO vorhanden.
Besuchen Sie uns doch einfach mal auf unserer Homepage.
Auf Wiedersehen
Sie mussen unbedingt einen neuen Patch installieren, um diese Maleware
abzuwehren.
Die von uns gesammelten Daten unter dem Aktenzeichen #
Diese Schadlinge kommen nicht per Mail, sie benutzen einen Bug
im Windows Netzwerk!
Benutzen sie den Patch um sich und andere nicht zu gefahrden.
Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit
Strafbar.
Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP
erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moglichkeit zur Stellungnahme wird Ihnen in den
nachsten
Tagen schriftlich zugestellt.
sind fur Sie und ggf. Ihrem Anwalt beigefugt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,
Europa Sonderkommission
Internet Downloads
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Ihre Drohgebarden konnen sie woanders loswerden,
Rufnummer au?erhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 -
6868
Hochachtungsvoll
i.A. PK Mollbach
Wenn Du meinst mich beleidigen zu mussen, nur weil ich Dir
ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid.
Hier haste deine bloden zynischen Antworten wieder!
Auf nimmer Wiedersehen .....
Wenn Sie meinen mir DROHEN zu konnen, haben sie sich in den Finger geschnitten!!!
Erstens mal, wei? ich gar nicht wer Sie sind.
Zweitens, kenne ich
Ihre Frau oder Freundin
Ihren Mann oder Freund
nicht.
Und Drittens, Ich habe kein Tachtel-Machtel mit Ihrem Partner!!!
Ihre Droh Mails habe ich gerade an die Behorden weitergeleitet.
aber nicht bei mir!
Sie horen noch von mir!
Deutschland Sucht Den ...
RTL: DSDS
Deutschland Sucht Den Superstar (DSDS) auf RTL.
Hallo, Du wurdest zufallig von ca. 85.000 E-Mail Adressen
ausgewohlt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten.
Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusatzlich noch
einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den
Stars mit dabei sein darfst.
Es werden insgesamt 100 Personen fur die Zuschauer Jury gesucht
und 200 Personen haben wir per Mail angeschrieben.
Also, Deine Chancen stehen ziemlich gut mit dabei zu sein.
Du musst mindestens 12 Jahre alt sein, um mitmachen zu durfen.
Einfach das Anmeldformular ausfullen und auf Antwort warten.
Viel Gluck!
++ RTL Geschaftsfuhrung: Dr. Constantin Lange
++ Director Content / Chefredakteur Neue Medien: Patrick Zeilhofer
++ Am Coloneum 1, 50829 Koln
++ Fon: +49 (0) 180 5 44 66 99, Fax: +49 (0) 180 5 44 77 77 (0,12 EURO
/ Minute)
Guten Tag,
da immer mehr unseriose Internet Seiten mit gefahrlichen Dialern entstehen,
haben wir uns gedacht, es geht auch Ohne Dialer!
Bei uns haben sie die Auswahl zwischen 87.000 verschiedenen Produkten.
Unter den Artikeln sind:
Handy Klingeltone
Handy Spiele ( uber 400 Stuck! )
Alles uber Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, und und
und
und noch vieles vieles mehr ...
Wir wurden uns Freuen, wenn Sie unsere DIALER FREIE Webseite besuchen.
Sehr geehrter Kunde,
Vielen Dank fur Ihre Anmeldung auf unserem Server.
Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.
Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr hei?
Internet Seiten zur Verfugung.
Wir bedauern, das es im Vorfeld so lange gedauert hat,
unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfanger
geschickt.
Da nun dieser Fehler behoben zu sein scheint, wunschen wir Ihnen
viel Spass mit unserem Angebot!
Die Seiten die Sie nun aufrufen konnen und die Zugangsdaten
befinden sich gesichert im Anhang.
Sitzt Ihnen immer die Angst im Nacken, wenn Sie sich MP3's herunterladen?
Wenn ja, dann benutzen sie unsere neue Filesharing Software!
Bei uns ist das Filesharing erlaubt, weil wir mit Werbebanner unser
Geld verdienen. (KEINE DIALER!!)
Von das Erwirtschaftete Geld, entrichten wir eine feste Summe an die Musik
Industrie!
Dadurch haben wir die Erlaubnis, MP3's zum tausch anbieten zu konnen.
Fur Sie aber, ist alles Kostenlos und die MP3's sind nicht
gekurzt oder zerstort. (Alles Originale)
Wir wurden uns freuen, wenn Sie unser Programm einmal ausprobieren wurden.
Es nehmen bereits mehr als 500.000 registrierte Benutzer unseren Dienst
in Anspruch.
Hans Tiusanen
- Sound Nord OHG Hans Tiusanen & Andreas Burgmann
- 25421 Pinneberg, Hindenburgdamm 77
- Telefon: 01401/27207
Sie Lesen richtig!!
Das sind die neuen, noch Geheimen Plane unserer super tollen Helden Politiker.
Lesen sie dazu mehr auf unserer Seite und Stimmen Sie ab,
ob man so einen Irrsinn unterstutzen soll oder nicht.
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.
bei dir ist der trojaner
.exe am wuten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager offnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lasst.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!
dieses hartnackige miststuck hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.
Ich bin wahrscheinlich zu
domlich
, Ich kriegs nicht gebacken.
Kannst du das mal testen!
Ich ruf dich spater mal an.
Hier die Digi-Cam Bilder. Manche sind nix geworden!
Nei messaggi in tedesco il worm si spedisce utilizzando attachement con
uno dei seguenti nomi:
Klassenfoto.<ext>
www.iq4you-german-test.com
Kundendat.BaB.<ext>
www.freewantiv.com
SysDial-patch.<ext>
aktenz.txt.<ext>
haha_sehr_witzig.<ext>
DrohMails.<ext>
RTL-DSDS-anmelde.<ext>
www.free4manga.com
Zugangsdaten.txt.<ext>
www.free4share4you.com
sharedfree.<ext>
www.tagespolitik-umfragen.com
Abstimmen.<ext>
test.<ext>
alledigis.<ext>
remove-
Utilizza queste come prima o seconda estensione all'allegato della mail:
bat
cmd
pif
scr
exe
com
Di seguito appare un esempio di mail mandata ad un indirizzo che causa
la schelta tedesca della lingua:
Body:
Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und
somit Strafbar.
Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner
unter der IP 66.35.158.84 erfasst wurde. Der Inhalt Ihres
Rechner wurde als Beweismittel sichergestellt und es wird ein
Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moglichkeit zur Stellungnahme wird
Ihnen in den nachsten Tagen schriftlich zugestellt. Die von uns
gesammelten Daten unter dem Aktenzeichen #36616 sind fur Sie und
ggf. Ihrem Anwalt beigefugt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,
Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb
Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer
auberhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
Hochachtungsvoll
Allegato:
AKTENZ<random_numbers>.TXT.EXE
In alcuni casi il worm utilizza allegati dal nome semi casuale (ad esempio
AKTENZ36616.TXT.EXE).
Il worm, per ingannare il rilevamento può attacare caratteri random
alla fine del file.
Diffusione nelle reti
Quando è in memoria, il worm tenta di localizzare le directory
condivise di Kazaa, EMule and EDonkey2000. Se le trova sovrascrive tuttigli
eseguibili mantenendo il nome e la dimensione originali del file
Rilevazione
F-Secure Anti-Virus per Windows rileva Sober.C con gli aggiornamenti
pubblicati il 20 Dicembre 2003:
[FSAV_Database_Version]
Version=2003-12-20_01
Dettagli tecnici:Alexey Podrezov and Katrin Tocheva; 20/12/2003;
Aggiornamenti e dettagli tecnici: Alexey Podrezov; 21/12/2003;
F-Secure Corporation
|
