A Sober.AA féreg rengeteg módosítást végez a fertőzött számítógépeken, és azokat további kártékony programoknak, illetve különböző fenyegetettségeknek szolgáltatja ki.
A Sober.AA féreg – hasonlóan az eddigi variánsaihoz – elsősorban elektronikus levelek révén igyekszik minél több számítógépet megfertőzni. A meglehetősen gyorsan terjedő féreg az email címeket a fertőzött PC-ken található, különböző kiterjesztésű állományokból gyűjti össze, majd előre meghatározott SMTP szerverek révén továbbítja saját magát.
A Sober.AA a regisztrációs adatbázis módosítása révén kikapcsolja a Windows beépített tűzfalát, az operációs rendszer automatikus frissítési funkcióját, valamint a Biztonsági központ szolgáltatást. Ezt követően fájlokat tölt le az Interneten keresztül, és időközönként egy-egy üzenetablakot jelenít meg.
Amikor a Sober.AA féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\PoolData\csrss.exe
%Windir%\PoolData\services.exe
%Windir%\PoolData\smss.exe
%Windir%\PoolData\spxttx1.xnt
%Windir%\PoolData\spxttx2.xnt
%Windir%\PoolData\spxttx3.xnt
%Windir%\PoolData\\\unnor.ssy
%Windir%\PoolData\xpsys.ddr
%Windir%\PoolData\WinD.osa
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run” WinData” = “C:\WINDOWS\PoolData\services.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”_WinData” = “C:\WINDOWS\PoolData\services.exe”
3. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows \WindowsUpdate\Auto Update”AUOptions” = “1”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Share dAccess\Parameters\FirewallPolicy\StandardProfile”EnableF irewall” = “4”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsv c”Start” = “4”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w scsvc”Start” = “4”
Ezzel kikapcsolja a Windows automatikus frissítési funkcióját, a beépített tűzfalat, valamint a Biztonsági központ szolgáltatást.
4. Megjelenít egy üzenetablakot “WinZip Self-Extractor” címsorral és “WinZip Header is missing!” üzenettel.
5. Módosítja a következő fájlokat:
%System%\drivers\TCPIP.SYS
%System%\dllcache\TCPIP.SYS
%Windir%\ServicePackFiles\i386\TCPIP.SYS
6. Leállítja a biztonsági szoftverekhez tartozó folyamatokat
7. Megjelenít egy üzenetablakot “Antivirus” címsorral.
8. Leteszteli, hogy van-e aktív Internet kapcsolat.
9. Egy fájlt tölt le az Interneten keresztül. Ezt minden héten egyszer megismétli.
10. Különböző kiterjesztésű fájlokból email címeket gyűjt össze. Ezeket a következő fájlokba tárolja el:
spxttx1.xnt
spxttx2.xnt
spxttx3.xnt
11. Az összegyűjtött email címekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
Ihr Passwort wurde geaendert!
Fehlerhafte Mailzustellung
Ihr Account wurde eingerichtet!
Your Updated Password!
Error in your eMail
A fertőzött levelek mellékletéhez tartozó fájl .zip kiterjesztésű, és véletlenszerű karakterekből épül fel.