22 grudnia 2003

I-Worm.Sober.c - wyświetla fałszywy komunikat

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 73 KB (kompresja UPX, rozmiar po rozpakowaniu - około 260 KB). Rozmiar pliku robaka może się zmieniać podczas instalacji.

Zainfekowane wiadomości mogą posiadać różne tematy, treści oraz nazwy załączników. Plik robaka może posiadać następujące rozszerzenia:

 • bat
 • cmd
 • pif
 • scr
 • exe
 • com

Przykład zainfekowanej wiadomości e-mail:

 • Temat:
  why me?
 • Treść:
  You say in the www. that i'm a terrorist!!!
  No way out for you. I REPORT YOU !
  You've said THAT about me
 • Nazwa załącznika:

  terror-list.com

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Instalacja

Robak umieszcza trzy własne kopie (z losowymi nazwami) w folderze systemowym Windows i tworzy klucze auto-run w rejestrze systemowym:

 • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "" = "%System%\"
 • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "" = "%System%\"

Po zakończeniu instalacji robak wyświetla na ekranie fałszywy komunikat o błędzie:

Rozprzestrzenianie

Robak szuka na dysku plików posiadających następujące rozszerzenia:

 • htt
 • rtf
 • doc
 • xls
 • ini
 • mdb
 • txt
 • htm
 • html
 • wab
 • pst
 • fdb
 • cfg
 • ldb
 • eml
 • abc
 • ldif
 • nab
 • adp
 • mdw
 • mda
 • mde
 • ade
 • sln
 • dsw
 • dsp
 • vap
 • php
 • asp
 • shtml
 • shtm

i skanuje je pod kątem obecności adresów e-mail, pod które rozsyłane będą zainfekowane wiadomości. Szkodnik wykorzystuje własny silnik SMTP.

Oto przykładowe tematy zainfekowanych wiadomości:

 • Sorry, that's your mail
 • hi, its me
 • Thank You very very much
 • you are an idiot
 • why me?
 • I hate you
 • Preliminary investigation were started
 • Your IP was logged
 • You use illegal File Sharing ...
 • A Trojan horse is on your PC
 • a trojan is on your computer!
 • Anime, Pokemon, Manga, ...
 • Registration confirmation
 • registration confirmation
 • Sorry, that's your mail
 • hi, its me
 • Thank You very very much
 • you are an idiot
 • why me?
 • I hate you
 • Preliminary investigation were started
 • Your IP was logged
 • You use illegal File Sharing ...
 • A Trojan horse is on your PC
 • a trojan is on your computer!
 • Anime, Pokemon, Manga, ...
 • Registration confirmation
 • registration confirmation

Treść wiadomości wybierana jest spośród następujących możliwości:

 • i'm very very sorry, anybody have 
  sent your mail to my address.
 • sorry for my bad english, 
  I am a Swede!
 • excuse for my bad english, 
  but I'm a Dutchman
 • I've got your mail, but its came 
  on my mail address??? i've read this mail
  ,,, sorry about that excuse for my bad 
  english, but I'm a Dutchman
  I don't know how to start this! I'm dull,, 
  can you test!?
  Here, the DigiCam photos. A few are 
  overexposed.
  That you've killed this bastard. 
  Your reward:
  That you have paid for me! 
  And that's your 
 • Caution: To all gamers A new worm 
  spread via online gaming! You must change 
  your internet configuration!! see: 
  www.onlinegamerspro-worm.com set_config.
 • Attention: To all gamers
  More than 75.000 freeware games!!! 
  Genre: -> 8500 online games = 3D
  Shooter, RPG, Action, Adventure, ... 
  non online games: -> Action = 4200
  games -> 3D Shooter's = 7500 games -> 
  RPG's = 6800 games -> Adventure's =
  5400 games -> ROM's for NES, SNES, 
  PS1&2, GC ,GB, MD, SMS, .. = 29.000
  ROM's - others = 16900 games all free!! 
  Download and enjoy downloader.exe
  www.freegames4you-gzone.com
  I-Worm.Sober
 • You say in the www. that i'm 
  a terrorist!!! No way out for you. 
  I REPORT YOU ! 
  You've said THAT about me
 • Thanks for your registration. 
  ( We say Sorry again, the first mail was 
  delivered to an unknown mail address. 
  This was a bug in our mailing system! ) 
  The amount of 239.- USD was deducted by 
  your xxx Welcome, you can now visit more 
  than 1200 very very hot web pages! 
  Your registration, pages and passwords are 
  xxx in the attachment. 
 • I said, I love you..,, and you 
  said NOTHING. And now,,, Go Away From Me 
  Here are my love-letter((s)) mock me mock 
  me again and again . 
  Enjoy it. blablabla GO!
 • You get the charge in writing, 
  in the next days. In the next days you 
  will receive the charge in writing.
  In the next days, you'll get the charge 
  in writing. In the next days, you'll get 
  the charge in writing.
 • Ladies and Gentlemen, Downloading 
  of Movies, MP3s and Software is illegal
  and punishable by law. We hereby inform 
  you that your computer was scanned
  under the IP xxx. The contents of your 
  computer were confiscated as an
  evidence, and you will be indicated. 
  In the next days, you'll get the
  charge in writing. In the Reference 
  code: #xxx, are all files, that we
  found on your computer. The sender 
  address of this mail was masked,
  xxx- You get more detailed information 
  by the Federal Bureau of Investigation 
  -FBI-- Department for Illegal Internet 
  Downloads, Room 7350 - 935 Pennsylvania 
  Avenue - Washington, DC 20535, USA - 
  (202) 324-3000
 • In the next days, you'll get 
  the charge in writing.

Nazwa załącznika jest generowana losowo.