Descrizione Breve

Sober.I è stato rilevato il 19 Novembre 2004. Questa variante è simile alle precedenti versioni rilevate. Si diffonde tramite allegato e-mail con diversi subject e contenuti. Il messaggio è composto da stringhe sia in inglese che in tedesco.

Sober.I può inserire un falso report di scansione all'interno del corpo della e-mail per tentare di ingannare l'utente, facendogli credere che l'e-mail ricevuta non è infetta ma è stata sottoposta a scansione tramite un anti-virus on-line.

Sober.I si stà diffondendo velocemente in Europa. Questo worm si diffonde tramite e-mail con differenti subject e testi nel corpo della mail. Questi messaggi sono composti da stringhe di testo sia in lingua tedesca che in lingua inglese. Il worm per infettare il sistema, copia diversi file tra cui spool32dir.exe.

Descrizione Dettagliata

Il worm è stato scritto in Visual Basic. Il worm è un eseguibile di tipo PE con dimensione 56 KBytes compresso con UPX.

Infezione del Sistema

Quando il file del worm viene eseguito mostra il seguente messaggio:

A questo punto il worm si installa,creando due copie di se stesso nella directory di sistema di Windows, con un nome generato semi-casualmente e una estensione EXE. Le seguenti stringe vengono usate per creare il nome del file eseguibile del worm:

sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

A questo punto il worm crea alcune chiavi nel registro di sistema che si riferiscono ai file generati in precedenza. Anche i nomi delle chiavi d'avvio vengono generati in modo semi-casuale, utilizzando la lista precedente. Vengono create le seguenti chiavi di registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe %srun%"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe %srun%"

Durante l'installazione il worm crea i seguenti file nella cartella di sistema di windows

dgssxy.yoi
sysmms32.lla
cvqaikxt.apk
Odin-Anon.Ger

Questi file hanno dimensione 0 byte e servono solo a disabilitare le precedenti versioni di Sober nel caso fossero state installate nel sistema infetto.

Il Worm crea anche i seguenti file:

clonzips.ssc
clsobern.isc
nonzipsr.noz
zippedsr.piz

Questi file sono copie dei worm codificate in formato MIME dell'eseguibile del worm racchiusi in file ZIP che serviranno al worm per diffondersi tramite e-mail.

Propagazione E-mail

Il worm spedisce messaggi sia in inglese sia in tedesco con relativo allegato. L'allegato della mail può essere un eseguibile oppure un eseguibile compresso in formato ZIP. Il worm crea differenti tipi di messaggi con contenuti diversi. Di seguito un esempio di messaggio in inglese spedito dal worm

Prima della diffusione, il worm esamina i file con determinate estensioni su tutti i dischi rigidi, per raccogliere indirizzi E-mail. I file con le seguenti estensioni vengono esaminati:

pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Gli indirizzi e-mail e gli user-name trovati durante la scansione vengono salvati in due file nella cartella di sistema di Windows

winroot64.dal
winsend32.dal

Quando il worm si attiva in memoria blocca l'accesso a questi due file a tutti i file creati in precedenza.

Il worm ignora indirizzi email che contengono le seguenti stringhe:

1-000000-000000
tps@
hubak@
ruiv@
farbugs@
ron@
info@
sales@
press@
ventes@
rar.dutch@
rar@
vmlich@
jimaz@
RAR.regsite@
provision@
alex@
webmaster@
rod@
selwyn_arrow@
admin@
inftec@
eugene@
jwpark@
sam@
sites.far@
whatsnew.far@
helpdesk@
fararcbugs@
mark@
cogswell@
licensing@
apply@
Ollydbg@
snaker@
mail@
qwaci@
g-rom@
lorian@
stone@
GOD@
tac_2000@
tac_cracking@
mackt@
christoph@
rarsoft.com
rarsoft.de
yahoo.com

'de','.ch', '.at', '.li' or to 'gmx.'

Rilevazione

F-Secure Anti-Virus rileva Sober.I con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2004-11-19_01

Dettagli Tecnici: Jarkko Turkulainen; 19 Novembre 2004

Descrizione: Katrin Tocheva; 19 Novembre 2004

F-Secure Corporation