Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Sober - chwali twórcę robaka Sobig

Jest to robak sieciowy rozprzestrzeniający się za pośrednictwem wiadomości e-mail. Powstał przy użyciu języka programowania Visual Basic, a jego rozmiar to 63 KB (kompresja UPX).

Instalacja

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik. W takim przypadku na ekranie komputera pojawia się fałszywy komunikat o błędzie.

Szkodnik tworzy w folderze Windows trzy własne kopie wybierając nazwy z poniższych możliwości:

  • similare.exe;
  • systemchk.exe;
  • winrea.exe.

Następnie robak tworzy w rejestrze systemowym klucz auto-run:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath=%System%\drv.exe

Rozprzestrzenianie

Szkodnik szuka adresów e-mail potencjalnych ofiar w plikach posiadających następujące rozszerzenia:

HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, ASP, SHTML, SHTM.

Zainfekowane wiadomości wysyłane są przy użyciu bezpośredniego połączenia z serwerem SMTP.

Temat jest wybierany spośród następujących możliwości:

  • You send spam mails (Worm?);
  • A worm is on your computer!;
  • Now, it's enough;
  • You have sent me a virus!;
  • Hi darling, what are you doing now?;
  • Be careful! New mail worm;
  • Re: Contact;
  • RE: Sex;
  • Sorry, I've become your mail;
  • Hey man, long not see you;
  • Re: lol;
  • Viurs blocked every PC (Take care!);
  • Surprise;
  • I've become your mail!;
  • Advise who I am!;
  • New Sobig-Worm variation (please read);
  • Back At The Funny Farm;
  • I love you (I'm not a virus!);
  • Neuer Virus im Umlauf!;
  • Sie versenden Spam Mails (Virus?);
  • Ein Wurm ist auf Ihrem Computer!;
  • Langsam reicht es mir;
  • Sie haben mir einen Wurm geschickt!;
  • Hi Schnuckel was machst du so ?;
  • VORSICHT!!! Neuer Mail Wurm;
  • Re: Kontakt;
  • RE: Sex;
  • Sorry, Ich habe Ihre Mail bekommen;
  • Hi Olle, lange niks mehr geh;
  • Re: lol;
  • Viurs blockiert jeden PC (Vorsicht!);
  • _berraschung;
  • Ich habe Ihre E-Mail bekommen !;
  • Jetzt rate mal, wer ich bin !?;
  • Neue Sobig Variante (Lesen!!);
  • Back At The Funny Farm;
  • Ich Liebe Dich.

Nazwa załącznika jest wybierana spośród następujących możliwości:

  • AntiVirusDoc.pif;
  • Check-Patch.bat;
  • Screen_Doku.scr;
  • Removal-Tool.exe;
  • Perversionen.scr;
  • Bild.scr;
  • robot_mail.scr;
  • RobotMailer.com;
  • Privat.exe;
  • AntiTrojan.exe;
  • Mausi.scr;
  • NackiDei.com;
  • Anti-Sob.bat;
  • screen_doc.scr;
  • potency.pif;
  • perversion.scr;
  • pic.scr;
  • CM-Recover.com;
  • playme.exe;
  • robot_mailer.pif;
  • little-scr.scr;
  • security.pif;
  • Funny.scr;
  • Liebe.com;
  • Odin_Worm.exe;
  • anti_virusdoc.pif;
  • check-patch.bat;
  • removal-tool.exe;
  • love.com;
  • nacked.com;
  • Hengst.pif;
  • schnitzel.exe;
  • anti-trojan.exe;
  • NAV.pif.

Nazwa załącznika może ponadto posiadać różne rozszerzenia - BAT, COM, EXE, PIF lub SCR.

Zainfekowane wiadomości posiadają poniższą sygnaturę:

Automatic Mail notification: Robot-System__#".

Informacje dodatkowe

W kodzie szkodnika zapisane są następujące teksty:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe.


 2003-10-28  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych