Descrizione Breve

Un nuovo worm Sober.F è stato trovato il 4 Aprile 2004 in Germania

Descrizione Dettagliata

Il worm è scritto in Visual Basic. L'eseguibile del worm è un PE lungo 42496 byte, compresso con una versione modificata di UPX. Il worm contiene un motore SMTP che utilizza per spedire le e-mail infette.

Infezione del Sistema

Il worm si copia nella directory di sistema di Windows, con un nome in parte casuale, e crea 2 chiavi di avvio che si riferiscono a questo file all'interno del registro di sistema. Il worm utilizza le seguenti stringhe per generare il nome del file ed il nome della chiave di registro:

sys
host
dir
expolrer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

zmndpgwf.kxx
bcegfds.lll

Il worm crea una chiave di avvio nel registro che punta al file con il nome semi-casuale:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Il nome della sottochiave è creata dal worm è semi-casuale. Il valore della sottochiave è il percorso del worm all'interno della directory di sistema di Windows.

Diffusione via Email

Per collezionare indirizzi e-mail il worm analizza i file con alcune estensioni presenti su tutti gli hard disk. Vengono scanditi i file con le seguenti estensioni:

ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Il worm può spedire messaggi scelti da una serie di template in Inglese e Tedesco. Alcuni dei messaggi tentano di sembrare come semplici messaggi di errore. Alcuni esempi del contenuto delle e-mail:

Hi, it's me
hey you
damn!
Well, surprise?!
Faulty mail delivery
Mail delivery failed
Mail Error
Illegal signs in Mail-Routing
Connection failed
Invalid mail sentence length
Mail Delivery failure
Message Error
mail delivery status
Confirmation Required
Bad Gateway
Warning!
Your document
I was surprised, too! :-(
Who could suspect something like that?
shock
All OK :)
Police
see, what i've found!
Textdocument
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
anitv_text
instructions
your_article
Registration confirmation
I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
messagedoc
webmaster
admin
information
Confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.

7.28.114.32_failed_after_I_sent_the_message./Remote_host_said:
_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered
._This_account_has_been_disabled_or_discontinued_[#102]._-_
mta134.mail. dcn.com

** End of Transmission
The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home
-attachment
The message has been attached.
attach-message
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Informazioni Aggiuntive

Il worm Sober.F controlla continuamente la presenze del file ZHCARXXI.VVX. Se il file viene trovato il worm si disattiva. Se il file viene trovato durante l'installazione l'operazione viene interrotta.

Rilevazione

F-Secure Anti-Virus rileva Sober.F con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2004-04-02_01

Descrizione: Alexey Podrezov e Ero Carrera, 4 Aprile 2004

F-Secure Corporation