Archivado en Digital
Propagación de nueva variante del gusano Sober
WIN32/SOBER.O
En las últimas horas del pasado lunes 2 de mayo comenzó a difundirse un nuevo gusano del que ya se han detectado numerosas incidencias en los sensores.
* Nombre: Win32/Sober.O
Otros nombres: Sober.O, Sober.P, Email-Worm.Win32.Sober.p, I-Worm/Sober.P,
Sober.O@mm, W32.Sober.O@mm, W32/Sober.p@MM, W32/Sober.p@MM!zip, W32/Sober.V.worm,
W32/Sober-N, Win32.Sober.O@mm, Win32/Sober.53554!Worm, Win32/Sober.O, Worm.Sober.2,
Worm.Sober.P, WORM_SOBER.S
Tipo: Gusano de Internet
Fecha: 02/05/2005
Gravedad general: Media
Distribución: Media
Daño: Bajo
Destructivo: No
Lenguaje utilizado: Inglés
Origen: Desconocido
* INFORMACION
Gusano detectado el 2 de mayo de 2005, que se propaga en forma masiva por correo
electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones
de correo electrónico encontradas en el equipo infectado. El asunto del
mensaje cambia en cada mensaje, puede estar en Ingles o Alemán. Se incluye
herramienta de limpieza.
* CARACTERISTICAS
El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando
esto sucede se muestra un mensaje de error falso, con el siguiente texto:
WinZip Self-Extractor
Error:CRC not complete
[ OK ]
Crea los siguientes archivos en el sistema:
c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa
De acuerdo a la versión del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCUSoftwareMicrosoft
WindowsCurrentVersionRun
_WinStart =
"c:windowsConnection WizardStatusservices.exe"
HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
WinStart =
"c:windowsConnection WizardStatusservices.exe"
Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.
El gusano utiliza su propio motor SMTP para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes extensiones:
.abc .abd .abx .adb .ade .adp .adr .asp .bak .bas |
.cfg .cgi .cls .cms .csv .ctl .dbx .dhtm .doc .dsp |
.dsw .eml .fdb .frm .hlp .imb .imh .imh .imm .inbox |
.ini .jsp .ldb .ldif .log .mbx .mda .mdb .mde .mdw |
.mdx .mht .mmf .msg .nab .nch .nfo .nsf .nws .ods |
.oft .php .phtm .pl .pmr .pp .ppt .pst .rtf .shtml |
.slk .sln .stm .tbb .txt .uin .vap .vbs .vcf .wab |
.wsh
|
Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:
.dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. |
@gmetref |
abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. |
emsisoft ewido. freeav free-av ftp. gold-certs host. iana- iana@ icrosoft. |
info@ ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- |
ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe support |
t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ |
winrar
|
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones
a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Mensajes en inglés:
De: [uno de los siguientes]
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster
Asunto: [uno de los siguientes]
- Re:
- Re:mailing error
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:Your Password
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
ok ok ok,,,,, here is it
Ejemplo 2:
Account and Password Information are attached!
Visit: http:/ /www.[dominio]
Ejemplo 3:
This is an automatically generated E-Mail Delivery
Status Notification.
Mail-Header, Mail-Body and Error Description are
attached
Se agrega como pie del mensaje, uno de los siguientes textos:
- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[dominio]
Datos adjuntos: [uno de los siguientes]
account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
Mensaje en alemán:
Asunto: [uno de los siguientes]
- Glueckwunsch: Ihr WM Ticket
- Ich bin"s, was zum lachen ;)
- Ihr Passwort
- Ihre E-Mail wurde verweigert
- Mail-Fehler!
- WM Ticket Verlosung
- WM-Ticket-Auslosung
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp
Ejemplo 2:
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die
vollstaendige E-Mail incl. Daten gezippt & angehaengt
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Ejemplo 3:
Nun sieh dir das mal an
Was ein Ferkel ....
Ejemplo 4:
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Se agrega como pie del mensaje, uno de los siguientes textos:
- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[dominio]
Datos adjuntos:
_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip
El archivo .ZIP contiene el ejecutable del gusano, con doble extensión separadas con espacios.
Ejemplos:
Winzipped-Text_Data.txt .pif
Winzipped-Text_Data.txt .exe
Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.
* INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta
gratuita para desinfectar ordenadores afectados por este gusano sin necesidad
de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", las entradas "_WinStart" y "WinStart", en las siguientes claves del registro:
HKCUSoftwareMicrosoftWindows
CurrentVersionRun
HKLMSoftwareMicrosoftWindows
CurrentVersionRun
6. Cierre el editor del Registro del sistema.
7. Busque y elimine los siguientes archivos:
c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Modelo de carta de Baja Voluntaria en la empresa
Inicio de procedimiento de despido colectivo en H&M
Convenio Colectivo de Gestorías Administrativas
Humanizar las relaciones laborales y mejorar la vida de las personas
Cursos de formación en Distribución de Seguros
ERE Marypaz: el ERE se cierra sin acuerdo