Worm.Win32_Sober-Q

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 53801 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, Sober-Q crée le répertoire %WINDOWS%\HELP\HELP et tente de s'y copier sous les noms de fichier suivants :
csrss.ex
services.ex
smss.ex


Note: '%Windows%' est une variable de localisation. Sober-Q détermine le chemin du répertoire de Windows en effectuant une requête au système d'exploitation. Le répertoire Windows par défaut pour Windows 2000 et NT est C:\Winnt; pour 95,98 et ME est C:\Windows\; et pour XP est C:\Windows\.

Sober-Q spécifie les entrées de registre suivantes afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_SystemBoot
%WINDOWS%\Help\Help\services.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemBoot
%WINDOWS%\Help\Help\services.exe


Le ver crée également le fichier "Spammer.ReadMe.txt." dont le contenu est le suivant :

"http://i-newswire.com/pr19707.html
http://www.ebcvg.com/press.php?id=965

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)

In diesem Sinne"


"Spammer.ReadMe.txt" n'est pas malveillant et peut-être supprimé.

Sober-Q récupère les adresses email dans les fichiers ayant l'extension suivante :

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml


Les adresses électroniques récupérées par Sober-Q sont stockées dans les fichiers "SacriX.ggg" et "VonerX.von" où X est un nombre aléatoire.

Sober-Q évite d'envoyer de courriels aux adresses contenant l'une des chaînes de caractères suivantes :

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname


Le ver tente d'envoyer des spams en Allemand aux adresses ayant les noms de domaine ".de, .ch, .at, ou .li" ou contenant les chaînes des caractères suivantes :

yahoo.com
yahoo.de
hotmail.com
hotmail.de
gmx.de
gmx.at
gmx.net
gmx.ch


L'objet de ces messages de spam peut être les suivants :

4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Auf Streife durch den Berliner Wedding
Auslaender bevorzugt
Deutsche Buerger trauen sich nicht ...
Auslaenderpolitik
Blutige Selbstjustiz
Dresden 1945
Gegen das Vergessen
Deutsche werden kuenftig beim Arzt abgezockt
Tuerkei in die EU
Vorbildliche Aktion
60 Jahre Befreiung: Wer feiert mit?
Multi-Kulturell = Multi-Kriminell
Turkish Tabloid Enrages Germany with Nazi Comparisons
The Whore Lived Like a German
Armenian Genocide Plagues Ankara 90 Years On
Schily ueber Deutschland





http://www.zebulon.fr/