3 czerwca 2004

I-Worm.Sober.g - szczegółowy opis robaka

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci P2P. Szkodnik powstał przy użyciu języka programowania Visual Basic, a jego rozmiar to około 47 KB (kompresja UPX).

Instalacja

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Po uruchomieniu szkodnik wyświetla fałszywy komunikat o wystąpieniu błędu:

File not found
Special-UnZip Data-Module
is missing
Open with Notepad?
Yes No

Gdy użytkownik kliknie przycisk YES robak otwiera standardowy notatnik systemu Windows (NOTEPAD.EXE) i wyświetla tekst nie mający większego sensu.

Następnie szkodnik kopiuje się do foldera Windows z jedną z poniższych nazw:

sys
host
dir
expolrer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

i tworzy dla tej kopii klucze auto-run:

  • [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "[losowa nazwa klucza]" = "%System%\[nazwa pliku]"
  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "[losowa nazwa klucza]" = "%System%\[nazwa pliku]"

Dodatkowo robak tworzy w folderze Windows następujące zainfekowane pliki:

bcegfds.lll
zhcarxxi.vvx
cvqaikxt.apk
xdatxzap.zxp
datsobex.wwr
winzweier.dats
wincheck32.dats
winexpoder.dats
NoSpam.readme

Rozprzestrzenianie

Adresy potencjalnych ofiar pobierane są z plików posiadających następujące rozszerzenia:

abc      abd      abx
adb      ade      adp
adr      asp      bak
bas      cfg      cgi
cls      cms      csv
ctl      dbx      dhtm
doc      dsp      dsw
eml      fdb      frm
hlp      imb      imh
imh      imm      inbox
ini      jsp      ldb
ldif     log      mbx
mda      mdb      mde
mdw      mdx      mht
mmf      msg      nab
nch      nfo      nsf
nws      ods      oft
php      pl       pmr
pp       ppt      pst
rtf      shtml    slk
sln      stm      tbb
txt      uin      vap
vbs      vcf      wab
wsh      xhtml    xls
xml

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z serwerem SMTP.

Tematy i treści zainfekowanych wiadomości mogą być zapisane w języku niemieckim lub angielskim.

Załącznik posiada losową nazwę oraz rozszerzenie PIF lub ZIP.

Informacje dodatkowe

Robak posiada możliwość pobierania i uruchamiania plików zapisanych na następujących stronach WWW:

  • home.arcor.de
  • people.freenet.de
  • home.pages.at
  • scifi.pages.at
  • free.pages.at