Home / malware

PDF

Win32.Sober.I@mm

First posted on 21 November 2011.
Source: BitDefender

Aliases :

Win32.Sober.I@mm is also known as W32/Clonz.A.

Explanation :

The worm comes by mail in German or English language.
The mail address of the sender is spoofed.

The message body is generated from various templates, using information about the targeted user (such as the domain name).These templates contain the following strings (though the final mail may contain more text):

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
im_shocked
thats_hard
oh_nono
Your password was changed successfully!
Protected message is attached!
This mail was generated automatically.
Diese Information ist geschützt durch ein Passwort!
Diese E-Mail wurde automatisch generiert.
Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.
Viel Vergnügen mit unserem Angebot!
Folgende Fehler wurden aufgezeichnet:
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Vielen Dank für Ihr Verständnis.
Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.
Weitere Informationen befinden sich im Anhang dieser Mail

The subject may be one of:
Info von :
Mailzustellung fehlgeschlagen:
Fehler in E-Mail:
Ihre E-Mail wurde verweigert:
Mailer Error:
Ungültige Zeichen in Ihrer E-Mail:
Mail- Verbindung wurde abgebrochen:
Mailer-Fehler:
Betr.- Ihr Account:
Ihre neuen Account-Daten:
Auftragsbestätigung:
Lieferungs-Bescheid
Details
Oh God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system

The mail may also contain strings that state that the message has been scaned and was found clean:
Attachment: No Virus found
Mail_Scanner: No Virus
Anti_Virus: No Virus was found
Attachment-Scanner: NO VIRUS
Anti_Virus: Es wurde kein Virus gefunden

The attachment is either a ZIP archive or a SCR,BAT,COM or PIF file with the name one of composed of one of
daten,KDE_Info,system-,data_info etc., possibly with a random number appended to it. Also, the file may have an document
extension ( such as XML,TXT,EML ) followed by spaces, followed by the real extension.
Examples:
message_text.txt.(spaces).pif,
system-cmd.pif,
daten.bat,
data_info8326.pif,
KDE_Info901.bat,
daten.eml.bat.

Once executed, the worm copies itself to the Windows System32 directory with a name built with a combination of the following words:
sys,host,dir,expoler,win,run,log,32,disc,crypt,data,diag,spool,service,smss32 , such as disclogexpoler.exe.

The worm creates registry entries so that it will be run at Windows startup. (such as SoftwareMicrosoftWindowsCurrentVersionRunOnce and Run).

To gather email addresses it searches files with the following extensions:
pmr,stm,slk,inbox,imb,csv,bak,imh,xhtml,imm,imh,cms,nws,vcf,ctl,dhtm,
cgi,pp,ppt,msg,jsp,oft,vbs,uin,ldb,abc,pst,cfg,mdw,mbx,mdx,mda,adp,nab,fdb,vap,dsp,ade,sln,
dsw,mde,frm,bas,adr,cls,ini,ldif,log,mdb,xml,wsh,tbb,abx,abd,adb,pl,rtf,mmf,doc,ods,nch,xls,nsf,
txt,wab,eml,hlp,mht,nfo,php,asp,shtml,dbx .

Last update 21 November 2011

 

TOP