Cette section destinée aux experts, expose les détails techniques de ce virus.Taille: 73541 Octet(s)
Détails techniques: A son exécution, Sober-M dépose le fichier "
services.txt" dans le dossier
%Temp% et affiche son contenu grâce au bloc-note - notepad.exe (voir capture d'écran).
N.B. : Le ver détermine l'emplacement du dossier temporaire de l'utilisateur en fonction du système d'exploitation. Généralement
C:\Documents and Settings\{nom_d'utilisateur}
\Local Settings\Temp ou
C:\WINDOWS\TEMP.
Sober-M se copie ensuite sous le nom "
%Windir%\Config\system\services.exe".
Dans ce même répertoire, le ver crée une copie, de lui-même, encodée en base64 (compressé) sous le nom "
zipped.wrm".
Pour se lancer à chaque démarrage de Windows, le ver ajoute les entrées de registre suivantes :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemCheck = "%Windir%\Config\system\services.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_SystemCheck = "%Windir%\Config\system\services.exe"
N.B. :
%Windir% représentant le dossier Windows, généralement situé ici
C:\Windows ou là
C:\WINNT.
Propagation
Par e-mail
Sober-M se présente dans la pièce-jointe d'un e-mail et l'adresse de l'expéditeur est fausse. L'objet et le corps du message peuvent être en Anglais ou en Allemand. Si le destinataire comporte une adresse avec le mot "
gmx.", ou si elle se finit par "
de", "
ch", "
at" ou "
li", alors le message sera envoyé en Allemand.
Le ver collecte les adresses électroniques dans les fichiers ayant pour extension :
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Ainsi, les adresses sont sauvegardées dans un fichier sous le nom "
"%Windir%\Config\system\maddys.xyz".
Sober-M évite tout de même d'envoyer l'e-mail aux adresses ayant les mots suivants :
-dav
.dial.
.ppp.
.qmail@
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
antivir
anyone
anywhere
bellcore.
bitdefender
clicks.
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
host.
icrosoft.
law2
linux
mailer-daemon
members.
mustermann@
nlpmail01.
noreply
nothing
reciver@
refer.
secure
smtp-
somebody
someone
spybot
sql.
track.
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
www.
you@
yourname
Sober-M envoie un e-mail en utilisant son propre moteur SMTP. Il se connecte à un sevreur mail sélectionné aléatoirement parmi une liste de serveurs SMTP inscrite en "dur" dans le programme du ver.
Le ver emploie une "fausse" adresse d'expédition, en fait, il utilise l'une des adresse trouvées lors de sa récolte sur le machine infectée (
maddys.xyz).
Voici les caractéristiques du message envoyés :
Anglais
Objet :
I've_got your EMail on my_account!
Pièce-jointe :
your_text.zip
Corps du message :
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
Allemand
Objet :
FwD: Ich bin's nochmal
Pièce-jointe :
Private-Texte.zip
Corps du message :
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)
Le ver est dans l'archive zip (
your_text.zip ou
Private-Texte.zip) sous le nom "
mail.document.Datex-packed.exe".
Sober-M termine le processus suivant :
mrt.exe
Le ver dépose également un fichier
%Windir%\Config\system\nichtnem.nop (0 octet).
Il peut déposer les fichiers suivants dans le dossier
%System% :
nonrunso.ber
langeinf.lin
adcmmmmq.hjg
xcvfpokd.tqa
N.B. : Sober-M détermine l'emplacement du répertoire
%System% en tenant compte de la version du Windows utilisée. Par défaut, sous Windows 2000 et NT, il s'agit de
C:\Winnt\System32 ; sous Windows 95/98/Me, il s'agit de
C:\Windows\System et sous XP :
C:\Windows\System32.
Le ver détermine l'heure et la date en se connectant à l'un des serveurs NTP :
ntp.massayonet.com.br
cuckoo.nevada.eduCapture(s) d'écran: