Worm.Win32_Sober-J

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 43247 Octet(s)

Détails techniques:

Installation sur le système

A l'exécution de Sober-J, le ver affiche le message suivant :

Le ver s'installe sur le système et se copie dans le répertoire %System%.

N.B. : Sober-J détermine l'emplacement du répertoire %System% en tenant compte de la version du Windows utilsée. Par défaut, sous Windows 2000 et NT, c'est C:\Winnt\System32 ; sous Windows 95/98/Me, c'est C:\Windows\System et sous XP : C:\Windows\System32.

Le nom du fichier peut contenir les chaînes de caractères suivantes :

sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32


Une fois réalisé, le ver ajoute les entrées de registre suivantes :

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"{nom_aléatoire}" = "%WinSysDir%\{nom_aléatoire}.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"{nom_aléatoire}" = "%WinSysDir%\{nom_aléatoire}.exe"


Pendant son installation, le ver créé les fichiers suivants, dans le répertoire %System% :

dgssxy.yoi
sysmms32.lla
cvqaikxt.apk
Odin-Anon.Ger
nonrunso.ber


Ces fichiers, de taille nulle, sont utilisés pour désactiver les éventuelles précédentes versions de Sober installées sur le système infecté.

Sober-J créé alors les fichiers :

dgsfzipp.gmx
datamx.dam


Le fichier dgsfzipp.gmx est une archive compressée contenant le fichier du ver. Ce fichier sera utilisé pour la distribution du ver par e-mail. Le fichier datamx.dam contient les adresses e-mail récoltées par le ver sur une machine infectée.

Le ver crée également le fichier read.me ayant pour contenu :

Ist nur eine kleine Test-Version


In diesem Sinne:
Odin alias Anon


Distribution par e-mail

Sober-J envoi un courriel en Anglais ou en Allemand avec le ver en pièce-jointe. Le ver peut composer 2 messages différents, en voici un exemple :

Objet

I've got YOUR email on my account!!
ou
Ey du DOOF Nase, warum beantw...

Corps du message

Hello
First, sorry for my very bad English!

Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a name & adress. I think it's your name & adress.

In the last 8 days i've got 7 mails in my mail-box, but the recipient are you, not me. lol

OK, I've copied all email text in the Windows Text-Editor and i've zipped the text file with WinZip.
The sender of this mails is in the text file, too.

bye


ou

Warum beantwortest Du meine E-Mails nicht?
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge
niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit
Winzip kleiner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....


Pièce-jointe

email_text.zip ou text.zip

L'archive ZIP contient le fichier exécutable du ver sous le nom suivant :

mail_text-info.txt {beaucoup d'espace} .pif


Après cette distribution, le ver scanne les fichiers contenant les extensions suivantes, afin de collecter d'autres adresses e-mails :

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx


Les adresses trouvées sont enregistrées dans un fichier situé dans le répertoire %System% sous le nom datamx.dam

Quand le ver est actif en mémoire, il bloque l'accès à ces fichiers ainsi qu'aux fichiers sources du ver.

Sober-J ignore les adresses e-mails contenant les chaînes de caractères suivantes :

ntp-
ntp@
ntp.
info@
test@
office
@www
@from.
support
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
me@
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
password
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock





http://www.pourriel.ca/