Archivado en Internet

WIN32/SOBER.O

Propagaci贸n de nueva variante del gusano Sober


En las 煤ltimas horas del pasado lunes 2 de mayo comenz贸 a difundirse un nuevo gusano del que ya se han detectado numerosas incidencias en los sensores.



pdf
print
pmail
* Nombre: Win32/Sober.O

Otros nombres: Sober.O, Sober.P, Email-Worm.Win32.Sober.p, I-Worm/Sober.P, Sober.O@mm, W32.Sober.O@mm, W32/Sober.p@MM, W32/Sober.p@MM!zip, W32/Sober.V.worm, W32/Sober-N, Win32.Sober.O@mm, Win32/Sober.53554!Worm, Win32/Sober.O, Worm.Sober.2, Worm.Sober.P, WORM_SOBER.S

Tipo: Gusano de Internet
Fecha: 02/05/2005
Gravedad general: Media
Distribuci贸n: Media
Da帽o: Bajo
Destructivo: No
Lenguaje utilizado: Ingl茅s
Origen: Desconocido


* INFORMACION
Gusano detectado el 2 de mayo de 2005, que se propaga en forma masiva por correo electr贸nico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electr贸nico encontradas en el equipo infectado. El asunto del mensaje cambia en cada mensaje, puede estar en Ingles o Alem谩n. Se incluye herramienta de limpieza.


* CARACTERISTICAS
El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se muestra un mensaje de error falso, con el siguiente texto:

WinZip Self-Extractor
Error:CRC not complete
[ OK ]

Crea los siguientes archivos en el sistema:

c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa

De acuerdo a la versi贸n del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCUSoftwareMicrosoft
WindowsCurrentVersionRun
_WinStart =
"c:windowsConnection WizardStatusservices.exe"

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
WinStart =
"c:windowsConnection WizardStatusservices.exe"

Esta versi贸n mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab

.wsh
.xhtml
.xls
.xml


Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.

@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www

abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@

winrar
winzip
you@
yourname



El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se env铆a.

El gusano env铆a los mensajes en alem谩n, cuando la direcci贸n del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de
.li

Tambi茅n los env铆a en alem谩n si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los env铆a en ingl茅s.

Los mensajes que utiliza para enviarse tienen las siguientes caracter铆sticas:

Mensajes en ingl茅s:

De: [uno de los siguientes]

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Asunto: [uno de los siguientes]

- Re:
- Re:mailing error
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:Your Password

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

ok ok ok,,,,, here is it

Ejemplo 2:

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

Ejemplo 3:

This is an automatically generated E-Mail Delivery
Status Notification.
Mail-Header, Mail-Body and Error Description are
attached

Se agrega como pie del mensaje, uno de los siguientes textos:

- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[dominio]

Datos adjuntos: [uno de los siguientes]

account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip

Mensaje en alem谩n:

Asunto: [uno de los siguientes]

- Glueckwunsch: Ihr WM Ticket
- Ich bin"s, was zum lachen ;)
- Ihr Passwort
- Ihre E-Mail wurde verweigert
- Mail-Fehler!
- WM Ticket Verlosung
- WM-Ticket-Auslosung

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp

Ejemplo 2:

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die
vollstaendige E-Mail incl. Daten gezippt & angehaengt
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Ejemplo 3:

Nun sieh dir das mal an
Was ein Ferkel ....

Ejemplo 4:

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Se agrega como pie del mensaje, uno de los siguientes textos:

- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[dominio]

Datos adjuntos:

_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip

El archivo .ZIP contiene el ejecutable del gusano, con doble extensi贸n separadas con espacios.

Ejemplos:

Winzipped-Text_Data.txt .pif
Winzipped-Text_Data.txt .exe

Este gusano est谩 programado en Visual Basic 6.0 y comprimido con UPX.



* INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente direcci贸n:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauraci贸n autom谩tica en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", las entradas "_WinStart" y "WinStart", en las siguientes claves del registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Busque y elimine los siguientes archivos:

c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.