Descrizione Breve

Sober.Y è stato rilevato per la prima volta il 16 Novembre, ma tuttavia ha cominciato a diffondersi il 21 Novembre. Questa variante è simile alla precedente versione Sober.K rilevata il 21 Febbraio e ad alcune versioni di Sober rilevate a metà Novembre 2005.

http://www.f-secure.com/v-descs/sober_k.shtml

http://www.f-secure.com/v-descs/sober_t.shtml

Come le versioni precedenti, questo worm si diffonde tramite allegato e-mail in formato ZIP. Il messaggio è composto da testo in inglese oppure in tedesco.

Descrizione Dettagliata

Sober.Y è stato scritto in linguaggio Visual Basic e si propaga tramite un file eseguibile PE compresso con UPX di circa 55 kb. La dimensione del file decompresso è di circa 198 kb.

Infezione del Sistema

Una volta eseguito, il worm mostra a video un finto messaggio d'errore

Successivamente crea, nella cartella di Windows, la directory 'WinSecurity' contenente tre copie di se stesso:

services.exe
csrss.exe
smss.exe.

Inoltre il worm crea i seguenti file:

mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
socket1.ifo
socket2.ifo
socket3.ifo

I primi sei file vengono utilizzati per collezionare e salvare indirizzi e-mail, mentre gli ultimi 3 file per contenere il body del worm.

Il worm aggiunge,nel registro di sistema, le seguenti chiavi per eseguire il file "services.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" Windows" = "%WinDir%\WinSecurity\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%WinDir%\WinSecurity\services.exe"

Sober.Y crea alcuni file vuoti, nella cartella di sistema di Windows, con i seguenti nomi:

nonrunso.ber
langeinf.lin
runstop.rst
rubezahl.rub
bbvmwxxf.hml
filesms.fms

Questi file vengono usati per disattivare le varianti precedenti di Sober.
Il worm blocca l'accesso a tutti i suoi file e ricrea le sue chiavi nel registro se queste vengono cancellate

Invio tramite E-mail

Il worm Sober.Y invia diversi tipi di messaggio con testo in inglese o tedesco diffondendosi come allegato. L'allegato è un archivio compresso che contiene l'eseguibile del worm.
Il worm colleziona indirizzi e-mail analizzando i file con le seguenti estensioni:

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms
nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc
pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw
mde frm bas adr cls ini ldif log mdb xml wsh tbb abx
abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp
mht nfo php asp shtml dbx

Gli indirizzi e-mail trovati vengono memorizzati nel file "mssock*.dlii"e in "inmem*.ory", che vengono creati nella stessa cartella in cui si trova il file eseguibile del worm. Il worm ignora gli indirizzi e-mail che contengono le seguenti sottostringhe

ntp- ntp@ ntp. test@ @www @from. support smtp- @smtp.
gold-certs ftp. .dial. .ppp. anyone subscribe announce
@gmetref sql. someone nothing you@ user@ reciver@ somebody
secure whatever@ whoever@ anywhere yourname mustermann@
.kundenserver. mailer-daemon variabel noreply -dav law2
.sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav
@ca. abuse winrar domain. host. viren bitdefender spybot
detection ewido. emsisoft linux google @foo. winzip
@example. bellcore. @arin mozilla iana@ iana- @iana @avp
icrosoft. @sophos @panda @kaspers free-av antivir virus
verizon. @ikarus. @nai. @messagelab nlpmail01. clock

Quando il worm invia una mail ad un indirizzo che contiene la stringa "gmx." o i suffissi".de", ".li", ".ch" or ".at", compone un messaggio in tedesco, altrimenti in inglese.

E' da notare che oltre agli usuali messaggi che sembrano falsi bounces, richieste di cambiamento di password, pubblicità per i video di Paris Hilton e altro il worm spedisca anche messaggi che hanno come mittente FBI e CIA. Il campo mittente di questi messaggi contiene uno dei seguenti:

Department@fbi.gov (also can be Office@, Admin@, Mail@, Post@)
Department@cia.gov (also can be Office@, Admin@, Mail@, Post@)

Il subject della e-mail viene scelto tra uno dei seguenti:

You visit illegal websites
Your IP was logged

Il body della e-mail è il seguente:

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison

*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

Se il worm utilizza l'indirizzo @cia.gov, la fine del messaggio è differente:

++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

L'allegato viene scelto tra uno dei seguenti:

question_list.zip
list.zip

Di seguito un'esempio del messaggio che viene inviato:

Il file eseguibile del worm è all'interno del file compresso. Per infettare il PC è necessario lanciare l'eseguibile.

Payload

Il worm termina i processi che hanno all'interno del loro nome le seguenti stringhe:

microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

Quindi, il worm visualizza un messaggio di avviso simile a questo:

Questo trucco è ideato in modo da persuadere l'utente che nessun'infezione è stata rilevata sul suo PC, sia dal suo anti-virus che da altri tool di rimozione.

Il worm può essere utilizzato per eseguire il download e l'esecuzione di file sul PC infetto.

Inoltre il worm contatta molti time server per sincronizzare la sua attività.

Il worm viene rilevato con i seguenti aggiornamenti delle impronte virali:
Version=2005-11-16_03

Dettagli tecnici: Alexey Podrezov; 22 Novembre 2005

F-Secure Corporation