Sober.G

Email-Worm.Win32.Sober.g
Другие версии: .a, .c, .e, .f, .j, .n, .p, .q
Другие названия
Email-Worm.Win32.Sober.g («Лаборатория Касперского») также известен как: I-Worm.Sober.g («Лаборатория Касперского»), W32/Sober.g@MM (McAfee), W32.Sober.G@mm (Symantec), Win32.HLLM.Generic.292 (Doctor Web), W32/Sober-G (Sophos), Win32/Sober.G@mm (RAV), WORM_SOBER.G (Trend Micro), Worm/Sober.G (H+BEDV), W32/Sober.G@mm (FRISK), Win32:Sober-G (ALWIL), I-Worm/Sober.G (Grisoft), Win32.Sober.G@mm (SOFTWIN), Worm.Sober.G (ClamAV), W32/Sober.G.worm (Panda), Win32/Sober.G (Eset) Описание опубликовано 03 июн 2004
Поведение Email-Worm, почтовый червь
Технические детали

Сетевой червь, распространяющийся по электронной почте и сетям файлообмена в виде файлов, прикрепленных к зараженным письмам. Написан на языке Visual Basic. Упакован UPX. Размер в упакованном виде - примерно 47 КБ и может незначительно изменяться, из-за того что червь дописывает в конец файла произвольные данные.

Инсталляция
Червь активизируется, только если пользователь самостоятельно откроет вложенный файл. После запуска червь выводит на экран ложное сообщение об ошибке:

File not found
Special-UnZip Data-Module
is missing
Open with Notepad?
Yes No
При нажатии на "Yes", червь открывает Notepad, в котором отображает различный мусорный текст (аналогично червю Mydoom).

Создает в системном каталоге Windows свою копию с произвольным именем, выбираемым из списка:

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win
Червь регистрирует себя в ключе автозапуска системного реестра:

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[случайное имя ключа]"="%System%\[имя червя]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[случайное имя ключа]"="%System%\[имя червя]"
Создает еще несколько своих копий и вспомогательных файлов с разными именами в системном каталоге Windows:

bcegfds.lll
cvqaikxt.apk
datsobex.wwr
NoSpam.readme
wincheck32.dats
winexpoder.dats
winzweier.dats
xdatxzap.zxp
zhcarxxi.vvx
Размножение
Червь ищет на диске файлы, имеющие одно из следующих расширений:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Ищет в них адреса электронной почты. Для рассылки зараженных писем по найденным адресам червь использует прямое подключение к SMTP-серверу.

Зараженные письма содержат произвольные темы и тексты на немецком или английском языке (несколько десятков различных вариантов), которые произвольным образом составляются из нескольких частей.

Имя вложения также может варьироваться с разными расширениями "pif" или "zip".

Прочее
Червь может загружать на зараженный компьютер и запускать любые файлы со следующих удаленных сайтов:

free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

[b][color=red]Пользуйтесь антивирусом Касперского и будет вам Счастье. [/color][/b]