Descrizione Breve

Il worm Sober.S ha iniziato a diffondersi il 6 ottobre 2005. Questa variante di Sober si propaga come allegato alle e-mail e contiene testo in inglese o tedesco. Nel codice del worm sono presenti diversi bug che causano, di frequente, l'invio di allegati corrotti.

Tool di Disinfezione

F-Secure ha rilasciato alcuni tool per la rimozione di Sober.S

È possibile scaricare questi tool dai seguenti link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/sober_s_disinfect.zip

http://www.f-secure.com/tools/sober_s_disinfect.zip

La versione non compressa è disponibile al seguente link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/sober_s_disinfect.bat

http://www.f-secure.com/tools/sober_s_disinfect.bat

Istruzioni per la disinfezione sono disponibili al seguente link:

ftp://ftp.europe.f-secure.com/anti-virus/tools/sober_s_disinfect.txt

http://www.f-secure.com/tools/sober_s_disinfect.txt

Descrizione Dettagliata

Sober.S è scritto in Visual Basic e si propaga con un file eseguibile PE compresso con UPX di circa 113 kb. La dimensione del file decompresso è di circa 251 kb. Il worm aggiunge informazioni casuali alla fine di questo file ogni volta che s' installa su un computer.

Inoltre, sempre il 6 Ottobre, verso le 12:00, è stato rilevato un dropper per Sober.S.
La descrizione del dropper può essere trovata al seguente link

http://www.symbolic.it/rassegna/sobersdr.html

Installazione nel sistema

Una volta eseguito, il worm mostra a video un finto messaggio d'errore

Successivamente crea una sottocartella chiamata 'ConnectionStatus' nella cartella di Windows dove crea un file dal nome "services.exe".
Il worm Sober.S aggiunge nel registro di sistema le chiavi che consentono l'avvio del file "services.exe"

Il worm Sober.S aggiunge le seguenti chiavi per il file "services.exe" nel registro di sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" WinINet" = "%WinDir%\ConnectionStatus\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinINet" = "%WinDir%\ConnectionStatus\services.exe"

Sempre nella stessa cartella, il worm crea un file chiamato "netslot.nst", dove memorizza la sua copia mime-encoded che utilizzerà per diffondersi. La copia mime-encoded del worm è spesso danneggiata. Inoltre crea alcuni file nella cartella di sistema di Windows. I nomi di questi file sono composti da caratteri a caso, ad esempio:

Tuttavia su alcuni sistemi riesce a creare file vuoti con nomi propri:

nonrunso.ber
langeinf.lin
rubezahl.rub
bbvmwxxf.hml
gdfjgthv.cvq
seppelmx.smx

Questi file vengono usati per disattivare le varianti precedenti di Sober. Questa particolare variante ricerca un file chiamato "runstop.rst" e se lo trova, si auto-disattiva.
Sober.S blocca l'accesso a tutti i suoi file e ricrea le sue chiavi nel registro se queste vengono cancellate

Invio tramite E-mail

Il worm Sober.S invia diversi tipi di messaggio con il testo in inglese o tedesco e s' invia come allegato. L'allegato è un archivio compresso che contiene l'eseguibile del worm.
Viene eseguita la ricerca degli indirizzi analizzando i file con le seguenti estensioni:

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws
vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg
mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas
adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf
doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

Gli indirizzi e-mail trovati, vengono memorizzati nel file "socket.dli" che viene creato nella stessa cartella in cui si trova il file eseguibile del worm. Il worm ignora gli indirizzi e-mail che contengono le seguenti sottostringhe

@www @from. smtp- @smtp. ftp. .dial. .ppp. .dip.t-dia anyone
@gmetref sql. someone nothing you@ user@ reciver@ somebody
secure whatever@ whoever@ anywhere yourname mustermann@
mailer-daemon variabel noreply -dav law2 .qmail@ freeav @ca.
abuse winrar domain. host. viren bitdefender spybot detection
ewido. emsisoft linux @foo. winzip @example. bellcore. @arin
@iana @avp icrosoft. @sophos @panda @kaspers free-av antivir
virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

Quando il worm invia una mail ad un indirizzo che contiene il dominio "gmx." o ad altri domini col suffisso ".de", ".li", ".ch" or ".at", compone un messaggio in tedesco, altrimenti il worm lo compone in inglese.

Ecco alcuni esempi di messaggi in lingua inglese:

Subject:
I've got your mail on my account!
Body:
hello,
First I must say, my English is very very bad! Sorry about this.
Ok, I've got an email in my box, but this email is not for me, because,,,
I'm not the recipient! The recipient are YOU !!!
This must be an email provider error, but I don't know!
I have made a Screenshot about this mail and saved in a zipped jpeg graphic file for you.
ok then,
bye
Attachment:
screen_photo.zip

Subject:
Your new Password
Body:
Your password was successfully changed!
Please see the attached file for detailed information.
Attachment:
pword_change.zip

Subject:
Registration Confirmation
Body:
Thanks for your registration.
Your data are saved in the zipped .doc file!
Attachment:
Regis.info.zip

In aggiunta ai messaggi in inglese, il worm può comporre i seguenti messaggi in tedesco:

Subject:
Bcc: Ich habe Ihre Mail erhalten!
Body:
Danke fur Ihre Mail ....
Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, namlich an mich.
Ich kenne sie aber nicht!
Oder Ihr Provider hat die Mail falsch weiter geleitet!?
Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zuruck.
MfG
Sender
Attachment:
Privat-Foto.zip

--- Oppure ---

Subject:
Fwd: Klassentreffen
Body:
hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehangt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zuruck!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry for die belastigung ;)
liebe gruBe
Rita
(oppure ne sceglie uno tra i seguenti: Sandra, Nicole, Hannelore, Kerstin, Elke)
Attachment:
KlassenFoto.zip

Subject:
Haben Sie diese Mail verschickt?
Body:
Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu erstatten!
Sie spinnen ja wohl! Die Mail hat meine Tochter gelesen !!!!!!!!!!!!!!
Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung zuruckgeschickt.
Es ware von Vorteil, wenn Sie sich dazu au-ern wurden!!
Attachment:
Brief.zip

Il worm non utilizza nessun exploit per infettare sistemi remoti Per essere infettato un utente deve estrarre ed eseguire il file eseguibile del worm.

people.freenet.de
scifi.pages.at
home.pages.at
free.pages.at
home.arcor.de

Il worm Sober.S chiude le applicazioni che hanno le seguenti sottostringhe nei loro nomi:

microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsob
avwin.
guardgui.
stinger
hijack
sober
brfix
fixsob
s-t-i-n

Quindi, il worm visualizza un messaggio di avviso simile a questo:

Il worm Sober.S è rilevato dal seguente aggiornamento di F-Secure
Versione=2005-10-06_01

Dettagli tecnici: Alexey Podrezov; 6 Ottobre 2005

F-Secure Corporation