Sober.AA2

W32/Sober.AA@mm 28 November 2005

Virus Email yang datang dalam 2 bahasa [Inggris] dan [Jerman]

Virus lokal memang semakin pesat perkembangannya terlebih-lebih dengan kehadiran virus lokal yang dapat memperbaharui dirinya [update] dan dapat menyebarkan dirinya melalui email hal ini semakin mengukuhkan para pembuat virus lokal dapat disejajarkan dengan pera pembuat virus non lokal. Anda pasti kenal dengan virus tersebut ? W32/Rontok@mm namanya, sampai saat ini rontok sudah mencapai varian AA dan pastinya akan terus bertambah, dari hasil pantauan Vaksincom, dari sekian banyak telepon dan email yang masuk lebih dari 80% mengeluhkan PC mereka terinfeksi virus Rontokbro hal ini sungguh mengejutkan karena ternyata rontok dapat menggeser kedudukan Fawn dan kangen.

Setelah 6 bulan berselang, sebagian user masih difokuskan dengan virus lokal sehingga keberadaan virus non lokal terasa sangat terabaikan, mereka tidak lagi begitu perduli dengan keberadaannya bahkan mungkin mereka dianggap “mati suri”, sehingga mereka tidak menyadari sebenarnya virus non lokal juga berbahaya, sebut saja virus W32.Sober.@mm yang kini telah mencapai varian AA.

Antivirus Norman dengan update terbaru sudah dapat mengenali virus ini dengan baik, sebelumnya norman telah berhasil mendetsi virus Sober.AA sebagai Sober.gen dengan menggunakan teknologi SandBox, dimana teknologi mampu mendeteksi virus tanpa tergantung up-date definisi virus.

Sober.AA menyebar melalui email dengan menggunakan SMTP sendiri ke semua alamat email yang telah diperoleh dari komputer yang terinfeksi, email yang dikirim dapat dalam 2 bahasa yaitu Inggris dan Jerman. Email hanya akan dikirim dalam bahasa jerman jika Domain Email tersebut adalah de (Germany), ch (Switzerland), at (Austria) or li (Liechtenstein) selain itu Email akan dikirim dalam bahasa Inggris, jadi hati-hati jika Anda menerima email dengan bahasa jerman disertai attachment apalagi dari orang yang tidak dikenal dan sebaiknya hapus email tersebut, untuk mencegah hal itu sebaiknya install antivirus yang mempunyai fitur untuk melakukan scanning email sebelum dikirim atau diterima atau jika Anda mempunyai mail server sebaiknya install antivirus for mailserver, mungkin jalur penerimaan/pengiriman email akan sedikit terhambat [walaupun tidak terlalu signifikan] tetapi hal ini lebih baik dari pada tidak sama sekali, bukankan mencegah lebih baik daripada mengobati :).

Memang penyebaran Sober.AA belum sedahsyat Netsky.P dan walaupun sampai saat ini virus email yang paling banyak menyebar adalah Netsky.P (info www.messagelabs.com) tetapi perlu diwaspadai, karena Sober.AA datang dalam 2 bahasa dan berusaha untuk melumpuhkan program security yang ada.

Sober.AA mempunyai ukuran 55kb dan dikompresi dengan menggunakan UPX, virus ini diperkirakan menyebar pertama kali di USA, Kanada, Brazil, New Zealand, Belgia, dan Jerman dan kemungkinan virus ini baru muncul pada tanggal 21 November 2005.

Jika menjalankan file yang terinfeksi Sober.AA maka akan muncul pesan error, pesan ini muncul seolah-olah terjadi kerusakan pada file yang baru Anda jalankan, lihat gambar1

Pesan error ketika menjalankan file yang terinfeksi Sober.AA

Setelah pesan tersebut muncul Sober.AA akan membuat beberapa file yang akan dijalankan pertama kali ketika komputer dinyalakan, file ini akan disimpan didirektori C:\Windows\WinSecurity

Crsss.exe
Services.exe
Smss.exe

Pada direktori yang sama Sober.AA juga akan membuat file

Socket1.ifo
Socket2.ifo
Socket3.ifo
mssock1.dli

mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
starter.run

Pada saat pertama kali menjalankan file yang terinfeksi Sober.AA, ia akan membuat file pada direktori C:\Windows\system32, file ini mempunyai ukuran 0kb.

bbvmwxxf.hml
filesms.fms
langeinf.lin
nonrunso.ber
rubezahl.rub
runstop.rst

Untuk memastikan virus tersebut aktif ketika komputer dijalankan pertama kali Sober.AA akan membuat beberapa string value pada registry key:

· _Windows = "%Windows%\WinSecurity\services.exe"

Pada registry key

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

· ”Windows = "%Windows%\WinSecurity\services.exe"

Pada registry key :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Sober.AA juga akan membuat option [Services] pada msconfig

Untuk memperbanyak dirinya, Sober.AA akan mencoba untuk mengambil alamat email dari computer yang terinfeksi untuk kemudian menyebarkan dirinya kesemua alamat email yang telah diperolehnya, Sober.AA akan mengambil alamat email dari semua file yang mempunyai extension:

.abc	.abd	.abx	.adb	.ade	.adp
.adr	.asp	.bak	.bas	.cfg	.cgi
.cls	.cms	.csv	.ctl	.dbx	.dhtm
.doc	.dsp	.dsw	.eml	.fdb	.frm
.hlp	.imb	.imh	.imh	.imm	.inbox
.ini	.jsp	.ldb	.ldif	.log	.mbx
.mda	.mdb	.mde	.mdw	.mdx	.mht
.mmf	.msg	.nab	.nch	.nfo	.nsf
.nws	.ods	.oft	.php	.phtm	.pl
.pmr	.pp	.ppt	.pst	.rtf	.shtml
.slk	.sln	.stm	.tbb	.txt	.uin
.vap	.vbs	.vcf	.wab	.wsh	.xhtml
.xls	.xml

Email yang dikirim bisa dalam bentuk bahasa Inggris dan erman dengan ciri-ciri sebagai berikut:

----------------------------------------------------------------------------------------------------------

[Email dalam bahasa Inggris]

From: [Di palsukan]

Subject: (salah satu dibawah ini)

§ Registration Confirmation

§ Your Password

§ Mail delivery failed

§ smtp mail failed

§ hi,_ive_a_new_mail_address

§ You visit illegal websites

§ Your IP was logged

§ Paris Hilton & Nicole Richie

Message Body

§ ***** Go to: http://www.{nama domain pengirim}
***** Email: postman@{nama domain pengirim}

§ This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!

§ hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...
cyaaaaaaa

§ Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison

• *** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

• ++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505

++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

§ he Simple Life:

View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!

Please use our Download manager.

Attachment :

reg_pass.zip
reg_pass-data.zip
mail.zip
mail_body.zip
mailtext.zip
list[RANDOM CHARACTERS].zip
question_list[RANDOM CHARACTERS].zip
downloadm.zip

----------------------------------------------------------------------------------------------------------

[Email dalam bahasa Jerman]

From : [Di palsukan]

Subject : [salah satu dibawah ini]

§ Ihr Passwort

§ Account Information

§ SMTP Mail gescheitert

§ Mailzustellung wurde unterbrochen

§ Ermittlungsverfahren wurde eingeleitet

§ Sie besitzen Raubkopien

§ RTL: Wer wird Millionaer

§ Sehr geehrter Ebay-Kunde

Message body

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

Bei uns wurde ein neues Benutzerkonto mit dem Namen {string}19 beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.

Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.

Vielen Dank,

Ihr Ebay-Team

dimana kata {string} dapat merupakan salah satu dibawah ini:
• Bier
• Bremse
• Diebels
• HandgranatenHaral
• MasterX
• Onkel-Hotte
• Pippi
• Schnaggi
• Schnappi
• Trulla

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic

Aktenzeichen NR.:# (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 – 0

Attachment : [Dapat berupa salah satu dibawah ini]

[Nama File1].zip
[Nama FIle 1]-TextInfo.zip

Dimana [Nama file satu] merupakan salah satu string di bawah ini:

· Service

· Webmaster

· Postman

· Info

· Hostmaster

· Postmaster

· Admin

· Email.zip

· Email_text.zip

· [Nama File 2].zip

· Akte[Nama File 2].zip

Dimana [Nama File 2] merupakan salah satu string dibawah ini:

· Downloads

· BKA

· Internet

· Post

· Anzeige

· BKA.Bund

· [Nama File 3].zip

· [Nama File 3]_Text.zip

Dimana [Nama File 3] merupakan salah satu string dibawah ini:

· Kandidat

· WWM

· Auslosung

· Casting

· Gewinn

· Info

· RTL-Admin

· RTL

· Webmaster

· RTL-TV

· Ebay.zip

· Ebay-User_RegC.zip

Dimana jika file attachment dibuka akan terdapat satu file dengan nama “file-packed_datainfo.exe “ dengan ukuran 55kb

-------------------------------------------------------------------------------------------------------

Akan tetapi tidak semua alamat email yang diperoleh akan dikirimkan virus oleh Sober.AA, karena Sober.AA tidak akan mengirimkan dirinya ke alamat email yang mempunyai string.

-dav	.dial.	.kundenserver.	.ppp.	@ca.
.qmail@	.sul.t-	@arin	@avp	@iana
@example.	@foo.	@from.	@gmetref	@panda
@ikarus.	@kaspers	@messagelab	@nai.	announce
@smtp.	@sophos	@www	abuse	bitdefender
antivir	anyone	anywhere	bellcore.	ewido.
clock	detection	domain.	emsisoft	google
free-av	freeav	ftp.	gold-certs	linux
host.	icrosoft.	ipt.aol	law2	noreply
mailer-daemon	mozilla	mustermann@	nlpmail01.	office
nothing	ntp-	ntp.	ntp@	service
password	postmas	reciver@	secure	sql.
smtp-	somebody	someone	spybot	test@
subscribe	support	t-dialin	t-ipconnect	viren
time	user@	variabel	verizon.	winzip
virus	whatever@	whoever@	winrar
you@	yourname

Untuk mengirimkan email, Sober.AA akan menggunakan alamat DNS dibawah ini:

204.127.160.3
70.85.116.133
204.60.0.3
67.18.208.130
69.93.9.167
65.98.70.107
70.85.209.148
70.84.250.212
213.218.170.6
193.174.26.133
209.253.113.2
213.239.234.108
62.156.146.242
207.69.188.186
207.217.120.43
129.187.10.25
200.52.83.103
129.187.16.1
212.242.88.2

203.178.136.36
128.8.74.2
194.87.0.9
147.28.0.39
194.231.195.79
69.20.54.201
198.87.87.38
194.206.126.200
209.68.63.250
205.166.226.38
128.83.139.9
131.215.254.100
128.9.176.32
216.194.225.70
128.135.5.5
219.127.89.34
193.158.124.143

194.25.2.129
217.237.150.225

129.115.102.150
38.9.211.2
134.94.80.2
130.149.2.12
131.215.254.100
128.194.254.2
4.2.2.3
195.185.185.195
209.68.2.46
129.186.1.200
198.6.1.2
131.243.64.3
24.93.40.33
195.182.96.29
158.43.128.1
200.74.214.246
204.117.214.10
151.201.0.39

217.237.151.161

Serta mencoba untuk melakukan koneksi ke NTP server dimana Sober.AA akan mencoba untuk mencocokan waktu sesuai dengan NTP server yang dituju.

ntps1-1.uni-erlangen.de	time.mit.edu	tick.greyware.com
tock.keso.fi	ntp2c.mcc.ac.uk	ntp1.theremailer.net