Worm.Win32_Sober-N

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 53554 Octet(s)

Détails techniques:

A son exécution, Sober-N affiche le message dans une fenêtre (voir capture d'écran).

Il se copie sous le répertoire %Windir%\Connection Wizard\Status directory avec les noms suivants :

csrss.exe
smss.exe
services.exe


Le ver dépose des versions du ver encodées en base64 :

Packed1.sbr
Packed2.sbr
Packed3.sbr


Il dépose également les fichiers suivants, afin de conserver les e-mails recherchés :

Sacri1.ggg
Sacri2.ggg
Sacri3.ggg
Voner1.von
Voner2.von
Voner3.von


Il dépose les fichiers suivants :

%Windows%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa


Le ver exécute ensuite le fichier services.exe, ce qui a pour conséquence de lancer smss.exe et csrss.exe.

Afin de se lancer à chaque démarrage de Windows, le ver ajoute ensuite les entrées de registre suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\_WinStart = "%Windir%\Connection Wizard\Status\services.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ WinStart = "%Windir%\Connection Wizard\Status\services.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ WinStart = "%Windir%\Connection Wizard\Status\services.exe %1"


N.B. : %windir% représentant le dossier Windows, généralement situé ici C:\Windows ou là C:\WINNT.


Sober-N se propage par e-mail en utilisant son propre moteur SMTP. Sober-N est placé en pièce-jointe, dans un exécutable ou une archive ZIP, sous l'un des noms suivants :

account_info-text.zip
account_info.zip
_PassWort-Info.zip
autoemail-text.zip
mail_info.zip
okTicket-info.zip
Fifa_Info-Text.zip
our_secret.zip
LOL.zip
Winzipped-Text_Data.txt .pif


Le ver collecte des adresses e-mails en analysant les fichiers, sur la machine infectée ayant pour extension :

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx


le ver n'envoie pas d'e-mail aux adresses contenant les mots suivants :

ntp-
ntp@
ntp.
info@
test@
@www
@from.
support
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
som
eone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
iana@
iana-
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock


L'e-mail peut être écrit en Anglais ou en Allemand. En voici les caractéristiques :

L'hôte expéditeur est modifié par l'un des mots suivants :

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster


En Anglais :

Objet

mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password


Corps du message

Le corps est l'un d'eux :

- Account and Password Information are attached!

Visit: http://www.
{caractères aléatoires}

- This is an automatically generated E-Mail Delivery Status Notification.

Mail-Header, Mail-Body and Error Description are attached


- ok ok ok,,,,, here is it


Le message est suivi de l'un des messages suivants :

*** Attachment-Scanner: Status OK
***
{caractères aléatoires} Anti-Virus
*** http://www.
{caractères aléatoires}

*** AntiVirus: No Virus found
***
{caractères aléatoires} Anti-Virus
*** http://www.
{caractères aléatoires}

*** Server-AntiVirus: No Virus (Clean)
***
{caractères aléatoires} Anti-Virus
*** http://www.
{caractères aléatoires}

Le ver peut supprimer les fichiers ayant les caractéristiques suivantes :

a*.exe
luc*.exe
ls*.exe
luu*.exe


Sober-N a été écrit en Visual Basic

Capture(s) d'écran:

Sober-N



http://www.secuobs.com/