Descrizione Breve

Una nuova variante del worm Sober.D è stato rilevato in Germania l' 8 Marzo del 2004. Come nelle varianti precedenti manda mail sia in lingua tedesca che inglese. Questo worm pretende di essere un aggiornamento di sistema di Microsoft, creato per rimuovere il worm MyDoom

Descrizione Dettagliata

Il worm è scritto in Visual Basic. Il file del worm è compresso con una versione modificata del compressore UPX. Possiede un SMTP interno che viene utilizzato per inviare messaggi e-mail infetti.

Infezione del Sistema

Quando il file del worm viene lanciato, per la prima volta, su un sistema "pulito" mostra la seguente notifica:

Mentre se viene eseguito su un computer già infetto, il messaggio visualizzato è il seguente:

Il nome del file nella messagebox cambia in base all'eseguibile del worm che ha infettato la macchina.

Il worm si copia nella directory di sistyema di Windows con un nome generato casualmente e crea una chiave ne registro di sistema di Windows per avviarsi al boot del computer. Il worm utilizza i seguenti testi per creare il nome del suo file:

sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Il worm crea un file chiamato MSLOGS32.DLL, dove salva gli indirizzi e-mail trovati nella macchina infetta. Il worm, nella stessa cartella, crea altri 3 file:

HUMGLY.LKUR
ZMNDPGWF.KXX
YFJH.YQWM

In più il worm crea altre due copie di se stesso nella directory di sistema di Windows, con il seguente nome:

WINTMPX33.DAT
TEMP32X.DATA

Il worm crea alcune chiavi di avvio nel registro di sistema di Windows:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

Il nome della chiave creata è anch'esso generato casualmente. Il valore della chiave è il percorso del file infetto nella directory di sistema di Windows.

Diffusione via e-mail.

Il worm scandisce file con determinate estenzioni, da tutti gli hard disks, per collezionare indirizzi e-mail. Vengono controllati file con le seguenti estensioni:

ini
log
mdb
tbb
abd
adb
pl
rtf
doc
xls
txt
wab
eml
php
asp
shtml
dbx
wab
tbb
abd
adb
pl

Il worm salva tutti gli indirizzi e-mail trovati nel file MSLOGS32.DLL, nella directory di sistema di windows. E' un file ASCII, non un binario.

Il worm invia messaggi con testi in tedesco ed inglese. Quando manda un messaggio ad un indirizzo e-mail che ha suffisso DE, CH, AT, LI, NL o BE oppure che contiene la stringa '@gmx, altrimenti il messagio viene composto in lingua inglese.

Qui a seguito è descritto un esempio del massagio inglese inviato:

Subject:

Microsoft Alert: Please Read!

Body:

New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains
the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ c2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

Qui a seguito è descritto un esempio del massagio tedesco inviato:

Subject:

Microsoft Alarm: Bitte Lesen!

Body:

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorganger verschickt sich der Wurm von infizierten Windows-
Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner!
Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des
W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schadling
zu schutzen!

+++ c2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Il mittente del messaggio è fasullo. Il mittente può essere uno dei seguenti:

Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security

Il dominio del mittente ha sempre la stringa '@microsoft' seguita dai suffissi '.DE' o '.AT' per i messaggi in tedesco e '.COM' per i messaggi in inglese.

Il worm si invia come allegato con estensione EXE, all'interno di un archivio ZIP. L'allegato ha nome variabile è può contenere una delle seguenti stringhe:

Patch
MS-Security
MS-UD
UpDate
sys-patch

In più il nome dell'allegato può contenere numeri generati casualmente.

Il worm non manda messaggi aglòi indirizzi e-mail che contengono ua delle seguenti stringhe:

abuse
winrar
domain.
host.
viren
bitdefender
spybot
hotmail
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@arin
mozilla
@iana
@avp
@msn.
microsoft.
@sophos
@panda
symant
ntp-
ntp@
@ntp.
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai
@messagelab
clock
info@
t-online

Rilevazione

F-Secure Anti-Virus per Windows rileva Sober.D con gli aggiornamenti pubblicati l' 8 Marzo 2004:

[FSAV_Database_Version]

Version=2004-03-08_01

Descrizione: Katrin Tocheva 08/03/2004;

Dettagli tecnici: Alexey Podrezov; 08/03/2004;

F-Secure Corporation