FAQ
F.A.Q.
Domande - Risposte
Sober.R
Internet Provider
Software
Home Page
Internet Provider
Mail Marketing
mail marketing
Preventivi
preventivi Internet
Supporto
supporto tecnico
Sms Web
sms da web
Download
download
Corsi Aziendali
corsi
Lavoro
lavoro
Pagamenti
pagamenti
Condizioni
Internet Provider
 
FAQ
faq
News
news
Applicativi asp
Motomania

Sober.R

Si tratta di una nuova variante della famiglia di worm Sober che si diffonde attraverso la posta elettronica. Per inviare se stesso agli indirizzi e-mail trovati all’interno del computer infettato, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol). L’e-mail inviata puo essere in Inglese o in Tedesco.

Viene riconosciuto anche come: Sober.Y, Sober.Q
Dimensione: 113709 byte (file zip), 113551 byte (file exe)

Dettagli tecnici

Quando viene eseguito, il worm mostra sullo schermo un finestra di dialogo con un errore fittizio

Error in packed file!
CRC header must be $7ff8

Il worm crea diversi file

%Windir%ConnectionStatus\netslot.nst
%Windir%ConnectionStatus\services.exe
%SysDir%\bbvmwxxf.hml
%SysDir%\gdfjgthv.cvq
%SysDir%\langeinf.lin
%SysDir%\nonrunso.ber
%SysDir%\rubezahl.rub
%SysDir%\seppelmx.smx

Dove le variabili simboliche %WinDir% e %SysDir% rappresentano rispettivamente le cartelle predefinite di Windows e di Sistema.

Il worm crea le seguenti chiavi all’interno del Registro, in modo tale da essere eseguito in automatico ad ogni avvio del sistema

HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\Run
" WinINet" = "%Windir%\ConnectionStatus\services.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
" _WinINet" = "%Windir%\ConnectionStatus\services.exe"

Per trovare gli indirizzi ai quali inviare dei messaggi infetti, il worm effettua una ricerca all’interno di file aventi le estensioni che seguono:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Gli indirizzi e-mail trovati vengono salvati nel file

%Windir%\ConnectionStatus\socket.dli

Gli indirizzi e-mail salvati dal worm presentano i seguenti nomi di dominio

.at
.ch
.com
.net
.de

Il worm invia se stesso a tutti gli indirizzi e-mail trovati. L’e-mail ha come allegato un file ZIP che contiene una copia del worm all’interno, con il nome PW_Klass.Pic.packed-bitmap.exe. L’e-mail puo essere in inglese o tedesco


faq Indietro

 
Home | Chi Siamo | Contatti | Internet Provider | Software House | Active Web | Web Marketing | SMS | Realizzazioni | Preventivi | Supporto | Lavoro | Condizioni
RD Informatica - Str. Rupola 14 - 61122 Pesaro PU - Tel 0721 206238 Fax 0721 1835042 P.Iva 01241970415 - info@rdinformatica.com 
Estrattore Pagine Gialle
Applicativi asp
RD
Applicativi asp
Internet provider
Software House
Applicativi asp
SMS Web
Software SMS
Mailing Project