Propagación de nueva variante del gusano Sober

Archivado en Digital

Propagación de nueva variante del gusano Sober

WIN32/SOBER.O

En las últimas horas del pasado lunes 2 de mayo comenzó a difundirse un nuevo gusano del que ya se han detectado numerosas incidencias en los sensores.

Este artículo se publicó originalmente en Caja Madrid (Sección Sindical Caja Madrid ) ,

* Nombre: Win32/Sober.O

Otros nombres: Sober.O, Sober.P, Email-Worm.Win32.Sober.p, I-Worm/Sober.P, Sober.O@mm, W32.Sober.O@mm, W32/Sober.p@MM, W32/Sober.p@MM!zip, W32/Sober.V.worm, W32/Sober-N, Win32.Sober.O@mm, Win32/Sober.53554!Worm, Win32/Sober.O, Worm.Sober.2, Worm.Sober.P, WORM_SOBER.S

Tipo: Gusano de Internet
Fecha: 02/05/2005
Gravedad general: Media
Distribución: Media
Daño: Bajo
Destructivo: No
Lenguaje utilizado: Inglés
Origen: Desconocido

* INFORMACION
Gusano detectado el 2 de mayo de 2005, que se propaga en forma masiva por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado. El asunto del mensaje cambia en cada mensaje, puede estar en Ingles o Alemán. Se incluye herramienta de limpieza.

* CARACTERISTICAS
El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se muestra un mensaje de error falso, con el siguiente texto:

WinZip Self-Extractor
Error:CRC not complete
[ OK ]

Crea los siguientes archivos en el sistema:

c:windowsConnection WizardStatuscsrss.exe
c:windowsConnection WizardStatuspacked1.sbr
c:windowsConnection WizardStatuspacked2.sbr
c:windowsConnection WizardStatuspacked3.sbr
c:windowsConnection WizardStatussacri1.ggg
c:windowsConnection WizardStatusservices.exe
c:windowsConnection WizardStatussmss.exe
c:windowssystem32adcmmmmq.hjg
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32seppelmx.smx
c:windowssystem32xcvfpokd.tqa

De acuerdo a la versión del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCUSoftwareMicrosoft
WindowsCurrentVersionRun
_WinStart =
"c:windowsConnection WizardStatusservices.exe"

HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
WinStart =
"c:windowsConnection WizardStatusservices.exe"

Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas

.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp

.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox

.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw

.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods

.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml

.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab

.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.

@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www

abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.

emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.

info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-

ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support

t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@

winrar
winzip
you@
yourname

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de
.li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes características:

Mensajes en inglés:

De: [uno de los siguientes]

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Asunto: [uno de los siguientes]

- Re:
- Re:mailing error
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:Your Password

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

ok ok ok,,,,, here is it

Ejemplo 2:

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

Ejemplo 3:

This is an automatically generated E-Mail Delivery
Status Notification.
Mail-Header, Mail-Body and Error Description are
attached

Se agrega como pie del mensaje, uno de los siguientes textos:

- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[dominio]

Datos adjuntos: [uno de los siguientes]

account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip

Mensaje en alemán:

Asunto: [uno de los siguientes]

- Glueckwunsch: Ihr WM Ticket
- Ich bin"s, was zum lachen ;)
- Ihr Passwort
- Ihre E-Mail wurde verweigert
- Mail-Fehler!
- WM Ticket Verlosung
- WM-Ticket-Auslosung

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp

Ejemplo 2:

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die
vollstaendige E-Mail incl. Daten gezippt & angehaengt
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Ejemplo 3:

Nun sieh dir das mal an
Was ein Ferkel ....

Ejemplo 4:

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Se agrega como pie del mensaje, uno de los siguientes textos:

- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[dominio]

Datos adjuntos:

_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip

El archivo .ZIP contiene el ejecutable del gusano, con doble extensión separadas con espacios.

Ejemplos:

Winzipped-Text_Data.txt .pif
Winzipped-Text_Data.txt .exe

Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.

* INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", las entradas "_WinStart" y "WinStart", en las siguientes claves del registro:

HKCUSoftwareMicrosoftWindows
CurrentVersionRun

HKLMSoftwareMicrosoftWindows
CurrentVersionRun

6. Cierre el editor del Registro del sistema.

7. Busque y elimine los siguientes archivos:

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.