Descrizione Breve

Sober.N è stato rilevato il 19 Aprile 2005. Il worm si diffonde tramite allegato di posta elettronica ed il messaggio si puo' presentare in inglese o in tedesco.

Descrizione Dettagliata

Sober.N è stato scritto in linguaggio Visual Basic, l'allegato è un file eseguibile di tipo PE, con dimensione 73 KBytes compresso con UPX.

Sober.N invia differenti tipologie di e-mail aventi il body del messaggio, e l'allegato, o in inglese o in tedesco . L'allegato è compresso in formato ZIP e contiene al suo interno il file eseguibile.

Il worm compone e-mail contenteti come sogetto le seguenti stringhe:

I've_got your EMail on my_account!"

"FwD: Ich bin's nochmal"

e come allegato:

your_text.zip

Infezione del Sistema

Una volta eseguito, nel sistema viene aperto l'editor di testo utilizzando il seguente testo come esca:

Successivamente crea una copia di sè stesso con nome "services.exe" nella seguente cartella:

%WinDir%\Config\system\

A questo punto il worm crea alcune chiavi nel registro di sistema che si riferiscono al file services.exe generato in precedenza

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemCheck" = "%WinDir%\Config\system\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_SystemCheck" = "%WinDir%\Config\system\services.exe"

Durante l'installazione il worm crea i seguenti file nella cartella di installazione:

zipped.wrm
maddys.xyz

Il file zipped.wrm contiene un worm codificato in base 64 necessario per la sua diffusione via e-mail, mentre il file maddys.xyz viene utilizzato per raccogliere gli indirizzi e-mail per la sua diffusione.

Il worm crea i seguenti file nella cartella di sistema di windows

nonrunso.ber
langeinf.lin
adcmmmmq.hjg
xcvfpokd.tqa

I file vengono utilizzati per disabilitare le precedenti versioni di Sober nel caso fossero state installate nel sistema infetto.

Propagazione E-mail

Prima della diffusione, il worm esamina, su tutti i dischi rigidi, i file con determinate estensioni al fine di raccogliere indirizzi E-mail. Vengono esaminati i file con le seguenti estensioni:

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Il worm ignora indirizzi email che contengono le seguenti stringhe:

@www
@from.
smtp-
@smtp.
ftp.
..dial.
..ppp.
anyone
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
mailer-daemon
variabel
noreply
-dav
law2
..qmail@
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
@foo.
winzip
@example.
bellcore.
@arin
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock

Il worm compone messaggi sia in inglese che in tedesco. Se il dominio al quale viene inviata l'e-mail appartiene a uno dei seguenti '.de','.ch', '.at', '.li', 'gmx.' la mail spedita sarà in tedesco altrimenti verrà spedita in lingua inglese.

Il worm compone il seguente messaggio:

Soggetto:
I've_got your EMail on my_account!
FwD: Ich bin's nochmal
Corpo della e-mail:
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.
bye
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)
Allegato:
your_text.zip
Private-Texte.zip

Rilevazione

F-Secure Anti-Virus rileva Sober.N con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2005-04-19_01

Dettagli Tecnici: Jarkko Turkulainen; 19 Aprile 2005

Descrizione: Mikko Hypponen; 19 Aprile 2005

F-Secure Corporation