Worm.W32/Sober.I@MM
Alias:
W32/Sober.I.worm (Panda Software), WORM_SOBER.I (Trend Micro),
W32/Sober.j@MM (McAfee), W32.Sober.I@mm (Symantec), Win32.Sober.I
(Computer Associates), Sober.I (F-Secure), Sober.I@mm (Norman),
Win32.Sober.I@mm (Bit Defender), W32/Sober.J@MM (Hacksoft),
W32/Sober-I (Sophos), Win32/Sober.I (ClamAV), I-Worm.Sober.i
(Kaspersky (viruslist.com)), Worm.Sober.I (Trend Micro),
W32/Sober.j.eml!exe (McAfee), W32/Sober.j@MM!zip (McAfee),
Sober.H@mm (Norman), I-Worm.Sober.i (McAfee), Worm.Sober.I (ClamAV),
W32/Sober.I@mm (PerAntivirus), Win32/Sober.I (Enciclopedia Virus),
W32/Clonz.A (Bit Defender)
Descripción:
Gusano que se propaga a través de correo electrónico a direcciones
recogidas de ficheros ubicados en el equipo infectado.
El mensaje tiene características variables y está escrito en inglés
o en alemán.
Detalles:
Efectos
Worm.W32/Sober.I@MM se propaga a través de correo electrónico en
un mensaje de características variables y escrito en inglés o en
alemán.
Metodo de Infección
Crea los siguientes archivos en el directorio de sistema de Windows:
- CLONZIPS.SSC y ZIPPEDSR.PIZ.
Archivos en formato MIME que son copias del gusano, comprimidas
en formato ZIP.
- CLSOBERN.ISC y NONZIPSR.NOZ.
Son copias del gusano en formato MIME.
- WINROOT64.DAL, WINSEND32.DAL,
WINMPROT.DAL y WINEXERUN.DAL. Archivos que
contienen direcciones de correo electrónico a las que el gusano
enviará una copia de sí mismo.
- CVQAIKXT.APK, DGSSXY.YOI, ODIN-ANON.GER,
SYSMMS32.LLA y SB2RUN.DII. El tamaño de estos
archivos es 0 Bytes, generalmente.
Crea dos componentes adicionales que tendrán un nombre aleatorio
compuesto a partir de palabras de la siguiente lista:
- sys
- host
- dir
- expolrer
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
Por ejemplo: logsys.exe, syssmss32.exe, data32service, win32,
runlog, etc.
Para ejecutar automáticamente estos componentes cada vez que el
sistema es reiniciado, añade los valor indicados a las siguientes
claves del registro de Windows (ejemplos):
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: windiag = "%System%\discsmss32.exe"
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: syscryptsmss32x = "%System%\spool32dir.exe
%srun%"
Clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: servicediag = "%System%\discsmss32.exe"
Clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: datadirrunx = "%System%\spool32dir.exe
%srun%"
Notas:
- Los Valores pueden variar pues se
construyen como se indicó anteriormente.
- %System% es variable. El troyano
localiza el directorio System y se replica en esa ubicación.
Por defecto es C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), o
C:\Windows\System32 (Windows XP).
Método de Propagación
Worm.W32/Sober.I@MM se propaga a través del correo electrónico,
mediante el siguiente proceso:
- Llega al ordenador afectado en un mensaje de correo escrito en
inglés o alemán con características variables.
El mensaje, escrito en inglés o en alemán, tiene las
siguientes caracterísitcas:
Remitente: - falsificado
-.
Esta dirección puede encontrada en el equipo infectado o puede
ser de la forma - nombre usuario -@- dominio del
receptor -, donde - nombre usuario - es uno de los
siguientes:
- Info
- FehlerMail
- Webmaster
- ReMailer
- Lisa
- Peter
- Michael
- Thomas
- Elke
- Susi
- Nadine
- Benutzer-Daten
- Information
- Service
- Hilfe
- Webmaster
- Hostmaster
- Postmaster
- User-Info
Asunto: uno de los
siguientes precedido de FwD
- hi there
- hey dude!
- wazzup!!!
- yeah dude :P
- Details
- Oh God it's
- damn!
- #
- Registration confirmation
- Confirmation
- Your Password
- Your mail account
- Delivery failure notice
- Faulty mail delivery
- Mail delivery failed
- Mailing Error
- Illegal signs in E-Mail
- Invalid mail length
- Mail Delivery failure
- mail delivery status
- Warning!
- error in dbase
- DBase Error
- ups, i've got your mail
- Sorry, that's your mail
- why do you do that?
- Life's a Bitch
- Smiling Like a Killer
- lol,wat'nlosey?
- Informationvon
- FalscheMailzustellung
- FehlerinIhrerE-Mail
- IhreE-Mailwarfehlerhaft
- ESMTPError
- UngültigeVariableninihrerE-Mail
- Verbindungwurdegetrennt
- Mail_Fehler
- IhrneuerAccount
- NeueAccountDaten
- Siehabennichtgezahlt
- Rechnung
- Hi,seivorsichtig!
- Achtung!gefährlicherVirus!
- Schongehört?
- DieTools!
- DeinZeug's!
- Hierfürdich^^
- BestellungsBestätigung
- Lieferungs-Bestätigung
- Ok,hieristmein
- Ichhabemichindichv
Cuerpo: alguno de los
siguientes:
yo wazzup :P
well here is ur stuff! good luck!
cya!
hey man! you'll not belive me what i've
found on your computer!^^ ... thats funny dude!
well cya soon
nice pic u send me! here is mine!
I was surprised, too! :-(??
Who could suspect something like that? shit
hey dude!#
ive found a shity virus on my pc. yo must check your pc!
follow the steps in this article.
bye
###
Your password was changed
successfully.
++++ User-Service: http://www.
++++ MailTo: postmaster@
Protected message is attached.
++++ User-Service: http://www.
++++ MailTo: postmaster@
This e-mail was generated
automatically.
Information about -- - under: http://www.
-----
Errors:
End
-----
The full mail is attached.
Auto-ReMail.System#: []
Anybody use your accounts and (or)
passwords!
For further details see the attachment.
*** Partial message is available!
*** Error: llegal signs in Mail-Routing
*** Mail-Server: ESMTP V
i'm very very sorry, anybody have sent
your mail to my account address.l
I've got your mail, but its came on my
mail address???
i've read this mail ,,, sorry about that
excuse for my bad english, but I'm a Dutchman
(or, excuse for my bad english, but I'm a Swede!)
cya
???
+-+-+ X- Mail_Scanner: No Virus
found
+-+-+ - AntiVirus Service
+-+-+ http://www.
Man hört und sieht nikkes mehr von
Dir!
Haste D.e.i.n.e. Tage oder so?;) Wäre mal sehr nett von dir,
wenn Du mal was
von dir hören laaaasssssen tutest(tut tut)!
bis spaeeeter mal
Diese Information ist Passwort
gesch
Da Sie uns Ihre Pers
Viel Spass mit unserem Angebot
--- Im I-Net unter: http://www..
Diese E-Mail wurde automatisch
erzeugt.
Weitere Informationen erhalten Sie unte
-----
Folgende Fehler sind aufgetreten:
Ende der Mitteilung
-----
Das diese E-Mail automatisch generiert
Wir bitten dies zu ber
Auto-ReMail.System#: []
Guten Tag!
Da unsere Datenbank von Hackern befallen wurde, mussten wir
leider
eineÄnderung bezüglich Ihrer Account Daten vornehmen.
Ihre neuen Account Daten finden Sie im beigefügten
Dokument.
Vielen Dank für Ihr Verständnis.
--- GmbH & Co. KG
--- Mail-To: Service@.com
--- www.
Guten Tag,
Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen
wir
darauf hinweisen, dass Ihre Zahlung noch nicht bei uns
eingegangen ist.
Leider müssen wir darauf hinweisen, das rechtliche Schritte
gegen Sie
eingeleitet werden können.
Alle Informationen bezüglich diesem Tarifes finden Sie im
mitgesendetem
Dokument.
Hochachtungsvoll
R. Peters
### Peters Multi- Media GmbH
### www.
Hi... ich wollte dir schnell mal
mitteilen, dass sich ein gefährlicher
Virus/Trojaner über Internet Seiten verbreitet.
Der ist wirklich gefährlich!
Achte auf die Infos im Anhang!!!
Ciao!
Hey alles klar? Hier sind die Tools die
du haben wolltest!
Viel Spaßdamit ;)
Cu!
Weitere Informationen befinden sich im
Anhang dieser Mail
Da Du mir dein Foto geschickt hast,
hier nun ein Bild von mir!
Ja, leider kann ich es nichtändern
aber es ist so.
Wenn Du genauso fühlst, dann schau dir bitte den Anhang
an.
Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir
sonst zu
peinlich .....
El mensaje en inglés podría además contener alguno de los
siguientes textos:
- Mail-Attachment: No Virus found
- X- Mail_Scaner: No Virus found
- Anti-Virus: No Virus
seguidos por:
- +-+-+ - Antivirus Service >
- +-+-+ http://www.
El mensaje en inglés podría además contener alguno de los
siguientes textos:
- X-MailScanner: Kein Virus gefunden
- X-Attachment_Scanner: NO VIRUS
- Anti-Virus Service: Es konnte kein
Virus erkannt werden
seguidos por:
- +-+-+ .- AntiVirus Service
- +-+-+ http://www.
Fichero Anexo: alguno de los
siguientes, con extensiones .pif, .zip, .scr,
.bat o .com
- stuff
- your_docs
- private
- ohyeah
- photo
- shock
- thatshard
- oh_no
- article
- more_infos
- ReMailer
- EM.
- mail
- check_this
- p_message
- yourmail
- idiot
- painfulness
- Jokers
- Kundeninfo
- ReMail
- EM.
- mail
- Jokes
- Kundeninfo
- Benutzer-Daten
- -tarif
- Antitext
- lese-das
- Aufpassen
- Tools
- daten
- Foto
- bild
- hallo.zip
El fichero anexo también podría ser de la forma - dominio
del destinatario -.primera extensión.zip, donde la primera
extensión es una de las siguientes:
- .txt
- .doc
- .word
- .xls
- .eml
- .TXT
- .DOC
- .EML
Tanto el asunto como el contenido se envían en alemán si la
dirección de correo contiene el texto "@gmx",
o si la extensión del dominio de correo es una de las
siguientes: de, ch, at o li.
- Busca direcciones de correo en los ficheros del equipo
afectado que tienen alguna de las siguientes extensiones:
- pmr
- stm
- inbox
- imb
- csv
- bak
- ihm
- xhtml
- imm
- imh
- cms
- nws
- vcf
- ctl
- dhtm
- cgi
- pp
- ppt
- msg
- jsp
- oft
- vbs
- uin
- ldb
- abc
- pst
- cfg
- mdw
- mbx
- mdx
- mda
- adp
- nab
- fdb
- vap
- dsp
- ade
- sln
- dsw
- mde
- frm
- bas
- adr
- cls
- ini
- ldif
- log
- mdb
- xml
- wsh
- tbb
- abx
- abd
- adb
- pl
- rtf
- mmf
- doc
- ods
- nch
- xls
- nsf
- txt
- wab
- eml
- hlp
- mht
- nfo
- php
- asp
- shtml
- dbx
- Se envía a sí mismo a todas las direcciones que encuentre,
utilizando su propio motor SMTP.
Evita enviar el mensaje que contiene el anexo infeccioso a
direcciones de correo electrónico que contengan cualquiera de
las siguientes cadenas de texto:
- .dial.
- .kundenserver.
- .ppp.
- .qmail@
- .sul.t-
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @msn
- @nai.
- @panda
- @smtp.
- @sophos
- @spiegel.
- @www
- abuse
- announce
- antivir
- anyone
- anywhere
- bellcore.
- bitdefender
- clock
- -dav
- detection
- domain.
- emsisoft
- ewido.
- freeav
- free-av
- ftp.
- gold-certs
- google
- host.
- icrosoft.
- ipt.aol
- law2
- linux
- mailer-daemon
- me@
- mozilla
- msdn.
- mustermann@
- nlpmail01.
- noreply
- nothing
- ntp-
- ntp@
- office
- password
- postmas
- reciver@
- redaktion
- secure
- service
- smtp-
- somebody
- someone
- spybot
- sql.
- subscribe
- support
- t-dialin
- time
- t-ipconnect
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
Cuando el usuario hace doble-click en el fichero anexo, se muestra
el siguiente mensaje falsoi de error:
Imagen de Mc
Afee
Otros Detalles
Está escrito en el lenguaje de programación Visual Basic v6.0.
Está comprimido mediante UPX.
Solución:
- Si utiliza Windows Me o XP, y sabe cuándo se produjo la
infección, puede usar la característica de Restauración
del Sistema para eliminar el virus volviendo a un punto de
restauración anterior a la infección. (Tenga en cuenta que se
desharán los cambios de configuración de Windows y se eliminarán
todos los archivos ejecutables que haya creado o descargado
desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable
desactivar temporalmente la Restauración del Sistema antes de
eliminar el virus por otros medios, ya que podría haberse
creado una copia de seguridad del virus. Si necesita ayuda vea desactivar
la Restauración del Sistema en Windows Me y desactivar
la Restauración del Sistema en Windows XP.
- Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de
Antivirus Gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
- En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
- A continuación hay que editar el registro para deshacer los
cambios realizados por el virus. Si necesita información sobre
cómo editar el registro puede ver esta guía
de edición del registro o este vídeo
de ayuda que ilustra el proceso. Sea
extremadamente cuidadoso al manipular el registro. Si modifica
ciertas claves de manera incorrecta puede dejar el sistema
inutilizable.
Para evitar que sea ejecutado automáticamente cada vez que
el sistema es reiniciado, elimine de las siguientes claves del
registro de Windows, los valores indicados (ejemplos):
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: windiag =
"%System%\discsmss32.exe"
Clave:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: syscryptsmss32x = "%System%\spool32dir.exe
%srun%"
Clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: servicediag =
"%System%\discsmss32.exe"
Clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: datadirrunx = "%System%\spool32dir.exe
%srun%"
- Reincie su ordenador y explore todo el disco duro con un
antivirus para asegurarse de la eliminación del virus. Si
desactivó la restauración del sistema, recuerde volver a
activarla.
Más Información sobre este virus en:
Fuente: red.es |
