28 października 2003

I-Worm.Sober - chwali twórcę robaka Sobig

Jest to robak sieciowy rozprzestrzeniający się za pośrednictwem wiadomości e-mail. Powstał przy użyciu języka programowania Visual Basic, a jego rozmiar to 63 KB (kompresja UPX).

Instalacja

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik. W takim przypadku na ekranie komputera pojawia się fałszywy komunikat o błędzie.

Szkodnik tworzy w folderze Windows trzy własne kopie wybierając nazwy z poniższych możliwości:

 • similare.exe;
 • systemchk.exe;
 • winrea.exe.

Następnie robak tworzy w rejestrze systemowym klucz auto-run:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath=%System%\drv.exe

Rozprzestrzenianie

Szkodnik szuka adresów e-mail potencjalnych ofiar w plikach posiadających następujące rozszerzenia:

HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, ASP, SHTML, SHTM.

Zainfekowane wiadomości wysyłane są przy użyciu bezpośredniego połączenia z serwerem SMTP.

Temat jest wybierany spośród następujących możliwości:

 • You send spam mails (Worm?);
 • A worm is on your computer!;
 • Now, it's enough;
 • You have sent me a virus!;
 • Hi darling, what are you doing now?;
 • Be careful! New mail worm;
 • Re: Contact;
 • RE: Sex;
 • Sorry, I've become your mail;
 • Hey man, long not see you;
 • Re: lol;
 • Viurs blocked every PC (Take care!);
 • Surprise;
 • I've become your mail!;
 • Advise who I am!;
 • New Sobig-Worm variation (please read);
 • Back At The Funny Farm;
 • I love you (I'm not a virus!);
 • Neuer Virus im Umlauf!;
 • Sie versenden Spam Mails (Virus?);
 • Ein Wurm ist auf Ihrem Computer!;
 • Langsam reicht es mir;
 • Sie haben mir einen Wurm geschickt!;
 • Hi Schnuckel was machst du so ?;
 • VORSICHT!!! Neuer Mail Wurm;
 • Re: Kontakt;
 • RE: Sex;
 • Sorry, Ich habe Ihre Mail bekommen;
 • Hi Olle, lange niks mehr geh;
 • Re: lol;
 • Viurs blockiert jeden PC (Vorsicht!);
 • _berraschung;
 • Ich habe Ihre E-Mail bekommen !;
 • Jetzt rate mal, wer ich bin !?;
 • Neue Sobig Variante (Lesen!!);
 • Back At The Funny Farm;
 • Ich Liebe Dich.

Nazwa załącznika jest wybierana spośród następujących możliwości:

 • AntiVirusDoc.pif;
 • Check-Patch.bat;
 • Screen_Doku.scr;
 • Removal-Tool.exe;
 • Perversionen.scr;
 • Bild.scr;
 • robot_mail.scr;
 • RobotMailer.com;
 • Privat.exe;
 • AntiTrojan.exe;
 • Mausi.scr;
 • NackiDei.com;
 • Anti-Sob.bat;
 • screen_doc.scr;
 • potency.pif;
 • perversion.scr;
 • pic.scr;
 • CM-Recover.com;
 • playme.exe;
 • robot_mailer.pif;
 • little-scr.scr;
 • security.pif;
 • Funny.scr;
 • Liebe.com;
 • Odin_Worm.exe;
 • anti_virusdoc.pif;
 • check-patch.bat;
 • removal-tool.exe;
 • love.com;
 • nacked.com;
 • Hengst.pif;
 • schnitzel.exe;
 • anti-trojan.exe;
 • NAV.pif.

Nazwa załącznika może ponadto posiadać różne rozszerzenia - BAT, COM, EXE, PIF lub SCR.

Zainfekowane wiadomości posiadają poniższą sygnaturę:

Automatic Mail notification: Robot-System__#".

Informacje dodatkowe

W kodzie szkodnika zapisane są następujące teksty:

Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Odin_Worm.exe.