Descrizione Breve

Sober.P è stato rilevato il 2 Maggio 2005. Il worm si diffonde tramite allegato di posta elettronica ed il messaggio si puo' presentare in inglese o in tedesco.

Descrizione Dettagliata

Sober.P è stato scritto in linguaggio Visual Basic, l'allegato è un file eseguibile di tipo PE, con dimensione 52 KBytes compresso con UPX.

Sober.P invia differenti tipologie di e-mail aventi il body del messaggio, e l'allegato, o in inglese o in tedesco . L'allegato è compresso in formato ZIP e contiene al suo interno il file eseguibile.

Infezione del Sistema

Una volta eseguito, nel sistema viene visualizzato il seguente messaggio di errore:

Successivamente crea tre nuovi file con nome "services.exe" , csrss.exe" e "smss.exe"nella seguente cartella creata dal worm:

%WinDir%\Connection Wizard\Status\

A questo punto il worm crea una chiave nel registro di sistema che si riferisce al file services.exe generato in precedenza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " WinStart" %WinDir%\Connection Wizard\Status\services.exe

Al successivo reboot, questo file permetterà l'esecuzione degli altri due file.

Durante l'installazione il worm crea i seguenti file nella cartella di installazione:

packed1.sbr
packed2.sbr
packed3.sbr

Questi file contengono il body del worm codificato in base 64, e vengono usati successivamente per la diffusione e-mail.

Propagazione E-mail

Prima di diffondersi il worm esamina, in tutti i dischi rigidi, i file con determinate estensioni al fine di raccogliere indirizzi E-mail. Vengono esaminati i file con le seguenti estensioni:

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Il worm ignora indirizzi email che contengono le seguenti stringhe:

ntp-
ntp@
ntp.
info@
test@
@www
@from.
support
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
iana@
iana-
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock

Il worm compone messaggi sia in inglese che in tedesco. Se il dominio al quale viene inviata l'e-mail appartiene a uno dei seguenti '.de','.ch', '.at', '.li', 'gmx.' la mail spedita sarà in tedesco altrimenti verrà spedita in lingua inglese.

Di seguito un'esempio del messaggio che il worm può inviare

Il messaggio può avere uno dei seguenti soggetti:

Re: Your Password
Re: Registration Confirmation
Re: Your email was blocked
Re: mailing error
FwD: Ihr Passwort
FwD: Ihre E-Mail wurde verweigert
FwD: Ich bin's, was zum lachen ;)
FwD: Glueckwunsch: Ihr WM Ticket
FwD: WM Ticket Verlosung
FwD: WM-Ticket-Auslosung

come body del messaggio:

Account and Password Information are attached!
Visit: http://www.<collected_url>.com

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus: No Virus found,Server-AntiVirus: No Virus (Clean)

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.

*-* http://www.<collected_url>
*-* MailTo: PasswordHelp@<collected_url>

**** AntiVirus: Kein Virus gefunden
**** "GMX" AntiVirus Service
**** WebSite: http://www.gmx.de

come allegato al messaggio sarà presente uno dei seguenti file:

mail_info.zip
our_secret.zip
Fifa_Info-Text.zip
okTicket-info.zip
free_PassWort-Info.zip
LOL.zip

Rilevazione

F-Secure Anti-Virus rileva Sober.P con i seguenti aggiornamenti:

[FSAV_Database_Version]

Version=2005-05-02_03

Descrizione: Tzvetan Chaliavski; 2 Maggio 2005

F-Secure Corporation