Nový e-mailový červ Sober.D drobně narušil symetricky se tvořící řadu vzájemně se předbíhajících variant červů Netsky a Beagle.
Vlastní tělo červa je napsáno ve Visual Basicu, vychází z předchozí varianty Sober.C a nese v sobě dvě jazykové varianty textů – německou a anglickou.
Pokud dojde k aktivaci červa, provedou se následující akce:
- Červ sám sebe zkopíruje do adresáře SYSTEM operačního systému pod jménem smss32win.exe
- Červ dále vypouští následující soubory:
- %system%\temp32x.data (MIME verze červa Sober.D)
- %system%\wintmpx33.dat (MIME verze červa Sober.D, která je následně zapisována do ZIP souborů v emailu)
- %system%\Humgly.lkur (dočasný soubor)
- %system%\zmndpgwf.kxx (dočasný soubor)
- Červ samozřejmě nezapomíná ani na systémové registry, ve který vytvoří dvě hodnoty:
[Náhodná_hodnota] %system%\smss32win.exe
v nově vytvořeném klíči
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\datasmss32
a
[Náhodná_hodnota] %system%\smss32win.exe %1
v klíči
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Položka [Náhodná_hodnota] je vybrán z těchto řetězců:
- sys
- host
- dir
- explorer
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
- Po spuštění se červ projevuje také opticky – zobrazí jednu z následujících hlášek:
- This patch has been successfully installed.
- This patch does not need to be installed on this system.
- Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
Sober.D po vzoru svých starších kolegů prochází všechny pevné disky, na kterých v souborech následujících typů vyhledává emailové adresy:
- ini
- log
- mdb
- tbb
- abd
- adb
- pl
- rtf
- doc
- xls
- txt
- wab
- eml
- php
- asp
- shtml
- dbx
- ttt
- wab
- tbb
- abd
- adb
- pl
Červ se na nalezené adresy šíří pomocí vlastního SMTP engine a vlastní email má následující charakteristiku:
Od: [Náhodně_zvoleno]@microsoft.com
Políčko [Náhodně_zvoleno] je dosazeno z těchto možností:
- Info
- Center
- UpDate
- News
- Help
- Studio
- Alert
- Patch
- Security
Předmět: výběr jednoho z následujících řetězců:
- Microsoft Alert: Please Read! Message-ID: <[náhodné znaky].qmail@microsoft.com>
- Microsoft Alarm: Bitte Lesen! Message-ID: <[ náhodné znaky].qmail@microsoft.com>
Tělo e-mailu: jedna z následujících variant:
Varianta 1 (anglicky):
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
Varianta 2 (německá):
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!
+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
Příloha: [Vybrané_jméno][Náhodné_číslo][Vybraná přípona]
[Vybrané_jméno] je náhodně voleno z těchto možností:
- Patch
- MS-Security
- MS-UD
- UpDate
- sys-patch
- MS-Q
Přípona souboru je dosazena ze dvou možností: ZIP nebo EXE. Celková velikost přílohy se pohybuje zhruba okolo 33 kB.
