Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.Sober.q

Jest to robak napisany w języku programowania Visual Basic, w oparciu o kod źródłowy szkodnika Email-Worm.Win32.Sober. Robak nie ma możliwości samodzielnego rozprzestrzeniania się, jednak wysyła z zainfekowanych komputerów wiadomości typu spam (w języku angielskim i niemieckim). Robak ma postać pliku PE EXE o rozmiarze około 53 KB (kompresja UPX, rozmiar po rozpakowaniu - około 158 KB). Sober.q infekuje komputery, które zostały już zaatakowane przez robaka Sober.p - Sober.p pobiera robaka Sober.q z różnych stron WWW.

Instalacja

Po uruchomieniu robak kopiuje się do foldera %WINDIR%\Help\Help z jedną z poniższych nazw:

csrss.exe
services.exe
smss.exe

i tworzy w rejestrze systemowym następujący klucz:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
SystemBoot=%windir%\help\help\services.exe

W ten sposób robak zapewnia sobie uruchamianie wraz z każdym startem systemu operacyjnego.

Ponadto robak modyfikuje klucz:

[...\exefile\shell\open\command]

dzięki czemu może przejąć kontrolę wraz z każdym uruchomieniem jakiegokolwiek pliku wykonywalnego.

Robak zapisuje na dysku zainfekowanego komputera następujące pliki:

adcmmmmq.hjg
fastso.ber
gdfjgthv.cvq
langeinf.lin
sacri2.ggg
sacri3.ggg
sysonce.tst
seppelmx.smx
xcvfpokd.tqa

Robak skanuje w poszukiwaniu adresów e-mail pliki posiadające następujące rozszerzenia:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Znalezione adresy e-mail zapisywane są w plikach:

voner1.von
voner2.von
voner3.von

Szkodnik nie zapisuje adresów posiadających następujące teksty:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Robak tworzy także plik %system%\Spammer.ReadMe, który zawiera następujący tekst:

[link]
[link]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)

In diesem Sinne

Robak wysyła niemieckojęzyczne wiadomości typu spam pod adresy znajdujące się w następujących domenach:

at
ch
de
gmx
li

Do użytkowników, których adresy znajdują się w pozostałych domenach wysyłane są anglojęzyczne wiadomości. Robak posiada bazę kilku tuzinów różnych wariantów wysyłanych wiadomości. Mimo, iż ich treści mogą obrażać niektórych odbiorców, wszystkie odsyłacze prowadzą do legalnych stron WWW, na których nie ma żadnych szkodliwych programów.

Funkcje dodatkowe

Podobnie do poprzedników, Sober.q łączy się z kilkoma serwerami NTP i synchronizuje z nimi datę i czas systemowy na zainfekowanym komputerze. Dnia 11 maja Sober.q podejmuje próbę pobierania plików z następujących stron WWW:

free.pages.at
home.arcor.de
home.pages.at
people.freenet.de
scifi.pages.at

Sober.q podejmuje także próby zamykania procesów, których nazwy zawierają następujące teksty:

fxsob
gcas
gcip
giantanti
inetupd.
microsoftanti
hijack
nod32kui
nod32.
sober
s-t-i-n-g
<alias> W32/Sober.gen@MM (McAfee),   Win32.HLLM.Generic.345 (Doctor Web),   W32/Sober-Gen (Sophos),   Trj/Agent.TC (Panda) </alias>