19 listopada 2004

UWAGA! I-Worm.Sober.i

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze 56 808 bajtów (kompresja UPX). Szkodnik powstał przy użyciu języka programowania Visual Basic.

Instalacja

Po uruchomieniu robak wyświetla następujący komunikat:

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:

Następnie szkodnik tworzy w folderze \Windows dwa pliki. Ich nazwy konstruowane są z następujących elementów:

32 
crypt 
data 
diag 
dir 
disc 
expolrer 
host 
log 
run 
service 
smss32 
spool 
sys 
win 
Pliki te są głównymi składnikami robaka. Szkodnik tworzy dla nich klucze auto-run rejestru systemowego:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[losowa nazwa klucza]" = "%System%\[nazwa pliku]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[losowa nazwa klucza]" = "%System%\[nazwa pliku]"

Dodatkowo robak tworzy w folderze \Windows własne kopie o następujących nazwach:

clonzips.ssc 
clsbern.isc 
cvqaikxt.apk 
dgssxy.yoi 
nonzipsr.noz 
Odin-Anon.Ger 
sysmms32.lla 
zippedsr.piz 

Rozprzestrzenianie - poczta elektroniczna

Adresy potencjalnych ofiar pobierane są z systemowej książki adresowej oraz z plików posiadających następujące rozszerzenia:

ABC 
ABD 
ABX 
ADB 
ADE 
ADP 
ADR 
ASP 
BAK 
BAS 
CFG 
CGI 
CLS 
CMS 
CSV 
CTL 
DBX 
DHTM 
DOC 
DSP 
DSW 
EML 
FDB 
FRM 
HLP
IMB 
IMH 
IMH 
IMM 
INBOX 
INI 
JSP 
LDB 
LDIF 
LOG 
MBX 
MDA 
MDB 
MDE 
MDW 
MDX 
MHT 
MMF 
MSG 
NAB 
NCH 
NFO 
NSF 
NWS 
ODS
OFT 
PHP 
PL 
PMR 
PP 
PPT 
PST 
RTF 
SHTML 
SLK 
SLN 
STM 
TBB 
TXT 
UIN 
VAP 
VBS 
VCF 
WAB 
WSH 
XHTML 
XLS 
XML

Znalezione adresy e-mail zapisywane są przez robaka w następujących plikach:

winexerun.dal 
winmprot.dal 
winroot64.dal 
winsend32.dal

W celu wysyłania wiadomości robak nawiązuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

Tematy i treści zainfekowanych wiadomości mogą być napisane w języku angielskim lub niemieckim i są losowo konstruowane na podstawie bardzo dużej liczby słów.

Załączniki posiadają losowe nazwy i rozszerzenie PIF, ZIP lub BAT.

Informacje dodatkowe

Robak wyposażony jest w funkcję pobierającą pliki ze zdalnych serwerów i uruchamiającą je.