Si tratta di una nuova variante della famiglia di worm Sober che si diffonde attraverso la posta elettronica. Per inviare se stesso agli indirizzi e-mail trovati all’interno del computer infettato, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol). L’e-mail inviata puo essere in Inglese o in Tedesco.
Viene riconosciuto anche come: Sober.Y, Sober.Q
Dimensione: 113709 byte (file zip), 113551 byte (file exe)
Dettagli tecnici
Quando viene eseguito, il worm mostra sullo schermo un finestra di dialogo con un errore fittizio
Error in packed file!
CRC header must be $7ff8
Il worm crea diversi file
%Windir%ConnectionStatus\netslot.nst
%Windir%ConnectionStatus\services.exe
%SysDir%\bbvmwxxf.hml
%SysDir%\gdfjgthv.cvq
%SysDir%\langeinf.lin
%SysDir%\nonrunso.ber
%SysDir%\rubezahl.rub
%SysDir%\seppelmx.smx
Dove le variabili simboliche %WinDir% e %SysDir% rappresentano rispettivamente le cartelle predefinite di Windows e di Sistema.
Il worm crea le seguenti chiavi all’interno del Registro, in modo tale da essere eseguito in automatico ad ogni avvio del sistema
HKEY_LOCAL_MACHINE \Software\Microsoft\ Windows\CurrentVersion\Run
" WinINet" = "%Windir%\ConnectionStatus\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
" _WinINet" = "%Windir%\ConnectionStatus\services.exe"
Per trovare gli indirizzi ai quali inviare dei messaggi infetti, il worm effettua una ricerca all’interno di file aventi le estensioni che seguono:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Gli indirizzi e-mail trovati vengono salvati nel file
%Windir%\ConnectionStatus\socket.dli
Gli indirizzi e-mail salvati dal worm presentano i seguenti nomi di dominio
.at
.ch
.com
.net
.de
Il worm invia se stesso a tutti gli indirizzi e-mail trovati. L’e-mail ha come allegato un file ZIP che contiene una copia del worm all’interno, con il nome PW_Klass.Pic.packed-bitmap.exe. L’e-mail puo essere in inglese o tedesco