Win32/Sober.O

Sober.O é um típico worm de distribuição por e-mail, seu tamanho é de 53554 bytes e o worm é compactado por UPX, um runtime executável para evitar sua descompactação.

Nota: No texto a seguir, %windir% indica o diretório Windows (ex.: C:\WINDOWS) e %system% indica o diretório de sistema do Windows (ex:. C:\WINDOWS\SYSTEM32), como estes diferem nas várias versões do Microsoft Windows.

Instalação e técnicas de Auto Inicialização

Após a sua execução, ele mostra o texto “Error: CRC not complete” em uma caixa de mensagem com o título “WinZip Self-Extractor”.

O worm se copia na pasta “%windir%\Connection Wizard\Status\” como “services.exe”, “smss.exe” e “csrss.exe”.

O worm, se executa como “services.exe” então executa “smss.exe” e “csrss.exe” nos processos do usuário. O Sober.O usa uma tecnologi exclusiva de bloqueio de arquivos para prevenir que um programa antivírus abra e rastreie arquibos enquanto o worm está ativo na memória.

Nota: Como em todas as versões passadas do Sober com bloqueio exclusivo, o Sober.O muda exatamente 1 byte no cabelalho dos arquivos carregados exclusivamente por ele. Feito isso, enquanto o worm estiver sendo executado, os 3 executáveis diferem em seu MD5 checksum.

Três outros arquivos maliciosos são criados na mesma pasta:

"packed1.sbr",
“packed2.sbr” and
“packed3.sbr”

contendo uma cópia encriptada em Base64 do worm como um arquivo zipado, que depois será 'renomeada' e anexada aos e-mails saintes.

Após isso, o worm cria os seguintes arquivos na sua pasta para coletar endereços de e-mail:

sacri1.ggg
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
and
fastso.ber
sysonce.tst

que são arquivos com 0 bytes.

Ele também cria alguns arquivos na pasta %system%:

adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa

Nota: Estes arquivos não são maliciosos e, portanto, não são detectados como parte do worm.

O worma adiciona as seguintes chaves de registro ao registro do Windows para assegurar que seja iniciado em toda inicialização do Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
“WinStart” = “%windir%\Connection Wizard\Status\services.exe”

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
“_WinStart” = “%windir%\Connection Wizard\Status\services.exe”

Nota: O worm procura continuamente pela presença destas chaves de registro e as recria quando elas não existem mais. Isso é feito via Visual Basic Timer Interrupt.

Sober.O tenta excluir todos os arquivos executáveis do symantec liveupdate , caso eles existam:

%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe

Se ele excluir com sucessos estes arquivos, e/ou o caminho Symantec Liveupdate existe, então ele coloca uma cópia do seu executável nno caminho

%Program Files%\Symantec\Liveupdate\luall.exe

Coleta de e-mails

O worm rastreia todos os discos rígidos e coleta endereços de e-mail em arquivos que possuam uma das seguintes extensões:

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

Envio de e-mails

O endereço de e-mail do remetente é forjado e parece ter sido enviado de uma fonte familiar.
O worm usa seu próprio motor SMTP (Simple Mail Transfer Protocol) para enviar cópias em massa de si mesmo para outrao endereços de e-mail.

Assuntos do e-mail

Os assuntos de e-mail são escolhidos dependendo do endereço do destinatário

Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: {empty}

para endereços da Alemanha:

Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung

Corpo da Mensagem

O e-mail contém ums das seguintes mensagens:

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.{ followed by random domain }

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

Sober.O então inclui uma das seguintes tags randomicamente no final da mesnagem:

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.{ followed by random domain }

ou para domínios da Alemanha:

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.{ followed by random domain }
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fuer die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Nun sieh dir das mal an
Was ein Ferkel ....

O worm então inclui uma tag randomicamente escolhida no corpo da mensagem:

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.{ followed by random domain }

Anexis do e-mail

O worm anexa ao e-mail uam cópia de si mesmo para domínios da Alemanha como:

LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
or as
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip

pata outros domínios.

Nota: O arquivo anexo ZIP contém o worm executável Winzipped-Text_Data.txt {spaces} .pif ouWinzipped-Text_Data.txt {spaces} .exe

O worm evita endereços de e-mail que contém partes da seguintes lista:

@www @from. smtp- @smtp. ftp. .dial. .ppp. anyone @gmetref sql. someone
nothing you@ user@ reciver@ somebody secure whatever@ whoever@
anywhere yourname mustermann@ mailer-daemon variabel noreply -dav law2
.qmail@ freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection
ewido. emsisoft linux @foo. winzip @example. bellcore. @arin @iana @avp icrosoft.
@sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

O worm tenta se conectar aos seguintes servidores:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Outros detalhes

O arquivo Zip que contém o worm possui 53728 bytes.
O worm contém funcionalidade de realizar o download e executar arquivos via URLMON.DLL.
Sober.O finaliza o McAfee Stinger Cleaner.
O worm é disparado no dia 28 de Maio.
Sober.O também finaliza a ferramenta de remoção da Microsoft.