Worm.W32/Sober.AG@MM
Alias:
WORM_SOBER.AG (Trend Micro), W32.Sober.X@mm (Symantec), Win32.Sober.W (Computer Associates), W32/Sober-Z (Sophos), W32/Sober-X (Sophos), Worm.Sober.U (ClamAV), Email-Worm.Win32.Sober.y (Kaspersky (viruslist.com)), Sober.Y (F-Secure), W32/Sober@MM!M681 (McAfee), W32/Sober.AH.worm (Panda Software), W32/Sober.AI@mm (PerAntivirus), W32/Sober.AA@mm (Norman)
Descripción:
Gusano cuya propagación se realiza a través del envío masivo de correo electrónico a direcciones capturadas en ficheros con determinadas extensiones ubicados en el equipo afectado.
El mensaje puede estar escrito en inglés o en alemán y llega en un fichero anexo de extensión '.zip' que contiene al archivo ejecutable "File-packed_dataInfo.exe".
El envío del mensaje lo realiza utilizando su propio motor SMTP (Simple Mail Transfer Protocol), lo que hace su funcionamiento independiente del cliente de correo instalado en el equipo.
Detiene la ejecución de varios procesos, entre ellos algunos relativos a herramientas antivirus y de seguridad, y también el proceso "mrt.exe" (de la herramienta de eliminación de Sw malicioso de Microsoft).
Esto provoca que el sistema quede más vulnerable frente a otras amenazas.
Detalles:
Instalación y Técnica de autoarranque
Cuando es ejecutado, Worm.W32/Sober.AG@MM muestra el siguiente mensaje falso de error con el objetivo de hacer creer al usuario que el fichero no se ejecutó adecuadamente:
Crea el directorio %Windows%\WinSecurity y a continuación deposita en él varias copias de sí mismo utilizando los siguientes nombres de fichero:
- csrss.exe
- services.exe
- smss.exe
Nota: %Windows% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows o C:\Winnt.
Además, deja en el mismo directorio unas copias de sí mismo codificadas en base64 con los siguientes nombres:
- socket1.ifo
- socket2.ifo
- socket3.ifo
También, como parte de la rutina de instalación, Worm.W32/Sober.AG@MM deja los siguientes ficheros en el directorio %System% del equipo afectado:
- bbvmwxxf.hml
- filesms.fms
- langeinf.lin
- nonrunso.ber
- rubezahl.rub
- runstop.rst
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Seguidamente, deja los siguientes ficheros en el directorio creado %Windows%\WinSecurity:
- mssock1.dli
- mssock2.dli
- mssock3.dli
Los ficheros antes mencionados son utilizados por el gusano para almacenar la información que captura, como por ejemplo direcciones de correo electrónico que recopila del sistema afectado.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: _Windows = "%Windows%\WinSecurity\services.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: Windows = "%Windows%\WinSecurity\services.exe"
La copia de sí mismo creada anteriormente de nombre csrss.exe, monitoriza entas entradas del registro.
En caso de que no se encuentren en el sistema, serán creadas por el propio gusano.
Propagación por correo electrónico
Worm.W32/Sober.AG@MM se propaga como fichero anexo a mensajes de correo electrónico que envía a direcciones capturadas en el equipo.
Para realizar el envío, utiliza su propio motor SMTP (Simple Mail Transfer Protocol), lo que hace su funcionamiento independiente del cliente de correo instalado en el equipo.
El mensaje enviado puede estar en inglés o en alemán y tiene las siguientes características:
Inglés
Remitente: - dirección generada por el gusano -
Asunto: alguno de los siguientes
- hi,_ive_a_new_mail_address
- Mail delivery failed
- Registration Confirmation
- smtp mail failed
- Spam: Registration Confirmation
- Your Password
- Your IP was logged
- Paris_Hilton_&_Nicole_Richie
- You visit illegal websites
Cuerpo del mensaje: alguno de los siguientes:
hey its me, my old address dont work at time. i dont know why?! in the last days ive got some mails. i' think thaz your mails but im not sure! plz read and check ... cyaaaaaaa
This is an automatically generated Delivery Status Notification. SMTP_Error [] I'm afraid I wasn't able to deliver your message. This is a permanent error; I've given up. Sorry it didn't work out. The full mail-text and header is attached
Account and Password Information are attached! ***** Go to: http://www.{- aleatorio -}.com ***** Email: {random}.com
Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison *** Federal Bureau of Investigation -FBI- *** 935 Pennsylvania Avenue, NW, Room 3220 *** Washington, DC 20535 *** phone: (202) 324-3000
Account and Password Information are attached! --- The Simple Life: View Paris Hilton & Nicole Richie video clips , pictures & more ;) Download is free until Jan, 2006! Please use our Download manager.
Fichero Anexo: alguno de los siguientes:
- mailtext.zip
- mail.zip
- reg_pass.zip
- mail.zip
- reg_pass-data.zip
- question_list.zip
- list.zip
- downloadm
- mail_body.zip
Alemán
Remitente: - dirección generada por el gusano -
Asunto: alguno de los siguientes:
- Ihr Passwort
- Account Information
- SMTP Mail gescheitert
- Mailzustellung wurde unterbrochen
- Ermittlungsverfahren wurde eingeleitet
- Sie besitzen Raubkopien
- RTL: Wer wird Millionaer
- Sehr geehrter Ebay-Kunde
Cuerpo del mensaje: alguno de los siguientes:
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt. Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt. Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck. Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen. Vielen Dank, Ihr Ebay-Team
Aktenzeichen NR.:# (siehe Anhang) Hochachtungsvoll i.A. Juergen Stock --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 - 0
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck. Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. +++ RTL interactive GmbH +++ Geschaeftsfuehrung: Dr. Constantin Lange +++ Am Coloneum 1 +++ 50829 Koeln +++ Fon: +49(0) 221-780 0 oder +++ Fon: +49 (0) 180 5 44 66 99
Fichero Anexo: alguno de los siguientes
- [- cadena1 -].zip
- [- cadena1 -]-TextInfo.zip
- Email.zip
- Email_text.zip
- [- cadena2 -].zip
- Akte[- cadena2 -].zip
- [- cadena3 -].zip
- [- cadena3 -]_Text.zip
- Ebay.zip
- Ebay-User_RegC.zip
donde '- cadena1 -' es alguna de las siguientes:
- Service
- Webmaster
- Postman
- Info
- Hostmaster
- Postmaster
- Admin
la variable '- cadena2 -' es alguna de las siguientes:
- Downloads
- BKA
- Internet
- Post
- Anzeige
- BKA.Bund
y la variable '- cadena3 -' es alguna de las siguientes:
- Kandidat
- WWM
- Auslosung
- Casting
- Gewinn
- Info
- RTL-Admin
- RTL
- Webmaster
- RTL-TV
El fichero anexo .zip contiene una copia del gusano con el nombre File-packed_dataInfo.exe.
Captura las direcciones electrónicas a las que enviar el mensaje de ficheros del equipo que tengan alguna de las siguientes extensiones:
* ABC
* ABD
* ABX
* ADB
* ADE
* ADP
* ADR
* ASP
* BAK
* BAS
* CFG
* CGI
* CLS
* CMS
* CSV
* CTL
* DBX
* DHTM
* DOC
* DSP
* DSW
* EML
* FDB
* FRM
* HLP
* IMB
* IMH
* IMM
* INBOX
* INI
* JSP
* LDB
* LDIF
* LOG
* MBX
* MDA
* MDB
* MDE
* MDW
* MDX
* MHT
* MMF
* MSG
* NAB
* NCH
* NFO
* NSF
* NWS
* ODS
* OFT
* PHP
* PHTM
* PL
* PMR
* PP
* PPT
* PST
* RTF
* SHTML
* SLK
* SLN
* STM
* TBB
* TXT
* UIN
* VAP
* VBS
* VCF
* WAB
* WSH
* XHTML
* XLS
* XML
El gusano evita enviarse a aquellas direcciones electrónicas que contengan alguna de las siguientes cadenas:
* -dav
* .dial.
* .kundenserver.
* .ppp.
* .qmail@
* .sul.t-
* @arin
* @avp
* @ca.
* @example.
* @foo.
* @from.
* @gmetref
* @iana
* @ikarus.
* @kaspers
* @messagelab
* @nai.
* @panda
* @smtp.
* @sophos
* @www
* abuse
* announce
* antivir
* anyone
* anywhere
* bellcore.
* bitdefender
* clock
* detection
* domain.
* emsisoft
* ewido.
* free-av
* freeav
* ftp.
* gold-certs
* google
* host.
* icrosoft.
* ipt.aol
* law2
* linux
* mailer-daemon
* mozilla
* mustermann@
* nlpmail01.
* noreply
* nothing
* ntp-
* ntp.
* ntp@
* office
* password
* postmas
* reciver@
* secure
* service
* smtp-
* somebody
* someone
* spybot
* sql.
* subscribe
* support
* t-dialin
* t-ipconnect
* test@
* time
* user@
* variabel
* verizon.
* viren
* virus
* whatever@
* whoever@
* winrar
* winzip
* you@
* yourname
Detención de procesos
Worm.W32/Sober.AG@MM detiene la ejecución de aquellos procesos cuyo nombre contenga alguna de las siguientes cadenas de caracteres:
* aswclnr
* avwin.
* brfix
* fxsbr
* gcas
* gcip
* giantanti
* guardgui.
* hijack
* inetupd.
* microsoftanti
* nod32.
* nod32kui
* s-t-i-n
* s_t_i_n
* sober
* stinger
Además, el gusano podría detener su propio proceso si su nombre de fichero contiene alguna de las cadenas antes mencionadas.
Worm.W32/Sober.AG@MM busca en la lista de procesos del sistema uno de nombre mrt.exe (proceso de la herramienta de eliminación de Sw malicioso de Microsoft).
En caso de encontrarlo, detiene el proceso, lo que provoca que el equipo quede más vulnerable frente a otras amenazas.
Otros Detalles
El gusano muestra los siguientes mensaje:
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de las siguientes claves del registro de Windows, los valores indicados:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: _Windows = "%Windows%\WinSecurity\services.exe"
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: Windows = "%Windows%\WinSecurity\services.exe"
- Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más Información sobre este virus en:
Fuente: red.es |
