Worm.W32/Sober.P@MM

Alias:
WIN32/SOBER.P (Enciclopedia Virus), Email-Worm.Win32.Sober.q (ClamAV), W32/Sober.q@MM (McAfee), Win32.Sober.Q@mm (Otros)

Descripción:
Peligrosa versión del famoso gusano que se propaga por correo electrónico y utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado.

Los mensajes pueden ser enviados los idiomas inglés y alemán, y el contendido del mensaje es diferente en cada envío.

Posee una rutina para activar la descarga un troyano en una fecha determinada que se dedicará a enviar spam de forma masiva.

Detalles:
Instalación

En su ejecución, intentará abrir el bloc de notas en el que mostrará un texto que comienza con las siguientes líneas:

Mail-Text:
Unzip failed

Crea los siguientes archivos:

• c:\windows\msagent\system\smss.exe
• c:\windows\msagent\win32\emdata.mmx
• c:\windows\msagent\win32\zipzip.zab
• c:\windows\nonrunso.ber
• c:\windows\read.me
• c:\windows\stopruns.zhz
• c:\windows\xcvfpokd.tqa

  Según la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Services.dll = "c:\windows\msagent\system\smss.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_Services.dll = "c:\windows\msagent\system\smss.exe"

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

• .abc
• .abd
• .abx
• .adb
• .ade
• .adp
• .adr
• .asp
• .bak
• .bas
• .cfg
• .cgi
• .cls
• .cms
• .csv
• .ctl
• .dbx
• .dhtm
• .doc
• .dsp
• .dsw
• .eml
• .fdb
• .frm
• .hlp
• .imb
• .imh
• .imh
• .imm
• .inbox
• .ini
• .jsp
• .ldb
• .ldif
• .log
• .mbx
• .mda
• .mdb
• .mde
• .mdw
• .mdx
• .mht
• .mmf
• .msg
• .nab
• .nch
• .nfo
• .nsf
• .nws
• .ods
• .oft
• .php
• .phtm
• .pl
• .pmr
• .pp
• .ppt
• .pst
• .rtf
• .shtml
• .slk
• .sln
• .stm
• .tbb
• .txt
• .uin
• .vap
• .vbs
• .vcf
• .wab
• .wsh
• .xhtml
• .xls
• .xml

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

• .dial.
• .kundenserver.
• .ppp.
• .qmail@
• .sul.t-
• @arin
• @avp
• @ca.
• @example.
• @foo.
• @from.
• @gmetref
• @iana
• @ikarus.
• @kaspers
• @messagelab
• @nai.
• @panda
• @smtp.
• @sophos
• @www
• abuse
• announce
• antivir
• anyone
• anywhere
• bellcore.
• bitdefender
• clock
• -dav
• detection
• domain.
• emsisoft
• ewido.
• freeav
• free-av
• ftp.
• gold-certs
• google
• host.
• icrosoft.
• ipt.aol
• law2
• linux
• mailer-daemon
• mozilla
• mustermann@
• nlpmail01.
• noreply
• nothing
• ntp-
• ntp.
• ntp@
• office
• password
• postmas
• reciver@
• secure
• service
• smtp-
• somebody
• someone
• spybot
• sql.
• subscribe
• support
• t-dialin
• test@
• time
• t-ipconnect
• user@
• variabel
• verizon.
• viren
• virus
• whatever@
• whoever@
• winrar
• winzip
• you@
• yourname

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía sus mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

• .at
• .ch
• .de
• .li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes características:

Mensaje en inglés:

• Remitente: [remitente falso]
• Asunto: Your Password & Account number
• Texto:

    hi,
    i"ve got an admin mail with a Password and Account info!
    but the mail recipient are you! it"s probably an esmtp
    error, i think.
    i"ve copied the full mail text in the Windows text-editor
    & zipped.
    ok, cya...

• Adjunto:
  • acc_text.zip

Mensaje en alemán:

• Remitente: [remitente falso]
• Asunto: Ich habe Ihre E-Mail bekommen!
• Texto:

    Hallo,
    jemand schickt ihre privaten Mails auf meinem Account.
    Ich schaetze mal, das es ein Fehler vom Provider ist.
    Insgesamt waren es jetzt schon 6 Mails!
    Ich habe alle Mail-Texte im Texteditor kopiert und
    gezippt.
    Wenn es doch kein Fehler vom Provider ist, sorge dafuer
    das diese Dinger nicht mehr auf meinem Account landen,
    es Nervt naemlich.
    Gruss
  

• Adjunto:
  • MailTexte.zip

En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre y doble extensión: mail_text-data.txt .pif

Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.

En determinada fecha, el gusano descarga un troyano que no posee la posibilidad de propagarse por si solo, pero que es capaz de abrir una puerta trasera en las máquinas ya infectadas, que serán utilizadas para la emisión de correo basura masivo (spam).

El troyano descargado crea los siguientes archivos:

• c:\windows\Help\Help\services.exe
• c:\windows\Help\Help\csrss.exe
• c:\windows\Help\Help\smss.exe

Crea además la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemBoot = "c:\windows\Help\Help\services.exe"

• sacri2.ggg
• sacri3.ggg
• voner1.von
• voner2.von
• voner3.von
• sysonce.tst
• fastso.ber

Crea el siguiente archivo:

• c:\windows\system32\Spammer.Readme

Este archivo contiene el siguiente texto:

  [dirección de mail]
  [dirección de mail]

  Ich bin immer noch kein Spammer!
  Aber sollte vielleicht einer werden :)


  In diesem Sinne

  in the file c:\windows\system32\Spammer.Readme

• adcmmmmq.hjg
• seppelmx.smx
• xcvfpokd.tqa
• gdfjgthv.cvq
• langeinf.lin

Estos archivos son creados para deshabilitar versiones anteriores del Sober.

Si la fecha está entre el 15/5/2005 y 22/5/2005, el troyano inicia su rutina de envío masivo de spam. Esta acción tiene como resultado un notorio aumento de correo no solicitado, donde casi todos los mensajes contienen asuntos y textos en alemán e inglés, con contenido político ultra-derechista.

Las direcciones para enviarse, son obtenidas en archivos con las siguientes extensiones:

• .pmr
• .phtm
• .stm
• .slk
• .inbox
• .imb
• .csv
• .bak
• .imh
• .xhtml
• .imm
• .imh
• .cms
• .nws
• .vcf
• .ctl
• .dhtm
• .cgi
• .pp
• .ppt
• .msg
• .jsp
• .oft
• .vbs
• .uin
• .ldb
• .abc
• .pst
• .cfg
• .mdw
• .mbx
• .mdx
• .mda
• .adp
• .nab
• .fdb
• .vap
• .dsp
• .ade
• .sln
• .dsw
• .mde
• .frm
• .bas
• .adr
• .cls
• .ini
• .ldif
• .log
• .mdb
• .xml
• .wsh
• .tbb
• .abx
• .abd
• .adb
• .pl
• .rtf
• .mmf
• .doc
• .ods
• .nch
• .xls
• .nsf
• .txt
• .wab
• .eml
• .hlp
• .mht
• .nfo
• .php
• .asp
• .shtml
• .dbx

El troyano ignora las direcciones que contengan alguna de las siguientes cadenas en su nombre:

• ntp-
• ntp@
• ntp.
• test@
• @www
• @from.
• smtp-
• @smtp.
• gold-certs
• ftp.
• .dial.
• .ppp.
• anyone
• subscribe
• announce
• @gmetref
• sql.
• someone
• nothing
• you@
• user@
• reciver@
• somebody
• secure
• whatever@
• whoever@
• anywhere
• yourname
• mustermann@
• .kundenserver.
• mailer-daemon
• variabel
• noreply
• -dav
• law2
• .sul.t-
• .qmail@
• t-ipconnect
• t-dialin
• ipt.aol
• time
• freeav
• @ca.
• abuse
• winrar
• domain.
• host.
• viren
• bitdefender
• spybot
• detection
• ewido.
• emsisoft
• linux
• google
• @foo.
• winzip
• @example.
• bellcore.
• @arin
• mozilla
• iana@
• iana-
• @iana
• @avp
• icrosoft.
• @sophos
• @panda
• @kaspers
• free-av
• antivir
• virus
• verizon.
• @ikarus.
• @nai.
• @messagelab
• nlpmail01.
• clock

El troyano envía los siguientes mensajes en alemán o inglés:

Mensajes en alemán:

Asuntos: Podrán ser alguno de los siguientes:

• 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
• Auf Streife durch den Berliner Wedding
• Auslaender bevorzugt
• Deutsche Buerger trauen sich nicht ...
• Auslaenderpolitik
• Blutige Selbstjustiz
• Deutsche werden kuenftig beim Arzt abgezockt
• Paranoider Deutschenmoerder kommt in Psychia trie
• Deutsche werden kuenftig beim Arzt abgezockt
• Du wirst zum Sklaven gemacht!!!
• Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
• Gegen das Vergessen
• Tuerkei in die EU
• Hier sind wir Lehrer die einzigen Auslaender
• Multi-Kulturell = Multi-Kriminell
• S.O.S. Kiez! Polizei schlaegt Alarm
• Transparenz ist das Mindeste
• Trotz Stellenabbau
• Vorbildliche Aktion
• Du wirst ausspioniert ....!
• Volk wird nur zum zahlen gebraucht!
• 60 Jahre Befreiung: Wer feiert mit?
• Graeberschaendung auf bundesdeutsche Anordnung
• Schily ueber Deutschland

Los textos podrán ser algunos de los siguientes:

  [dirección de mail]
  Neue Dokumente:
  [dirección de mail]
  Botschafter in Kiew beschwerte sich noch 2004:
  [dirección de mail]
  Traumziel Deutschland:
  Ohne Deutsch nach Deutschland:
  [dirección de mail]
  [dirección de mail]
  Kanzler erleichtert Visaverfahren fr Golfstaaten:
  [dirección de mail]
  Vorbildliche Aktion:
  [dirección de mail]

  [dirección de mail]
  [dirección de mail]

  [dirección de mail]
  Jetzt weiss man auch, wie es dazu kommt, dass Drogen,
  Waffen & Handy"s in die Haende der Knacki"s gelangen!

  Auslaenderbanden terrorisieren Wahlkampf - deutsche
  Buerger trauen sich nicht ihre Meinung zu sagen!
  Weiter auf:
  [dirección de mail]
  Auslaender ueberfallen nationale Aktivisten:
  [dirección de mail]
  [dirección de mail]

  [dirección de mail]

  [dirección de mail]
  Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans
  sind kaum noch zu durchdringen. Die Gerichte tragen
  Mitschuld.
  Weiter auf:
  [dirección de mail]

  [dirección de mail]
  EU-Abgeordnete goennen sich luxurioese Vollversorgung:
  [dirección de mail]
  Deutsche Krankenversicherungen muessen fuer
  Harems-Frauen zahlen:
  [dirección de mail]
  Kassenfunktionaere vervierfachten Gehalt:
  [dirección de mail]

 [dirección de mail]

  [dirección de mail]
  Immer mehr Frauen prostituieren sich:
  [dirección de mail]
  STAATSPROPAGANDA:
  [dirección de mail]

  [dirección de mail]

 [dirección de mail]

  In den fruehen Abendstunden des 13. Februar 1945 gegen
  21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden
  das erste mal auf. Die Bewohner der Elbmetropole machten
  sich zu der Zeit noch keine Sorgen, da Dresden als Stadt
  ohne Bewaffnungund ohne militaerischen Nutzen bekannt
  war und von ca. 1,2 Millionen Frauen, Kindern und Greisen
  bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch,
  dadie alliierten Bomberverbaende ihren Kurs geaendert
  haben und nun auf Dresden zufliegen. Kurz darauf befanden
  sich 244 britische Bomber am Himmel der deutschen
  Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle
  - es befanden sich bereits alle
  verfuegbarenRettungsmannschaften, Sanitaeter und
  Feuerwehmaenner in Dresden - verdunkelten weitere 500
  Bomber den Himmel. Am naechsten Tag folgte die letzte
  Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen
  12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben
  ab. - Das entspricht mehr als 85 Tonnen pro Minute. Nach
  dem Abwerfen setzten die US-Bomber zum Tiefflug an und
  beschossen Fluechtende mit ihren Bordwaffen. In diesen
  drei Angriffsschlaegen, die insgesamt 14 Stunden
  andauerten, warfen die Befreier 650.000 Brandbomben und
  200.000 Sprengbomben ab, welche einen Feuersturm von
  ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden
  weder Flugabwehr, noch Ruestungsindustrie oder aehnliche
  kriegswichtige Ziele besass wurden weit mehr als 350.000
  unschuldige deutsche Zivilisten in diesen zwei Tagen
  kaltbluetig ermordet. Keiner der schuldigen Alliierten
  wurde jemals fuer dieses brutale Kriegsverbrechen auchnur
  angeklagt und die Massenmedien und die bundesdeutsche
  Regierung schweigen diese Taten tot und sehen es nicht als
  noetig an den Opfern zu gedenken.!

  GEWALTEXZESS:
  [dirección de mail]
  Politiker zerrei t Menschenrechtsbericht:
  [dirección de mail]
  Schily = Hitler
  [dirección de mail]
  Schily wehrt sich gegen Hitler-Vergleiche:
  [dirección de mail]
  Sie hat ja wie eine Deutsche gelebt:
  [dirección de mail]
  [dirección de mail]
  Parallelgesellschaften - Feind hoerte mit:
  [dirección de mail]
  Sie war unerlaubt spazieren:
  [dirección de mail]
  Tiere an Autobahn geschlachtet:
  [dirección de mail]

  [dirección de mail]
  [dirección de mail]

  [dirección de mail]
  ... damit Sie nicht als der erste Kanzler in die deutsche
  Geschichte eingehen, der Untertanen verboten hat, aus
  ihren Fenstern auf die Strasse zu gucken - selbst Nazis
  und Stalinisten haben niemals eine aehnliche Anordnung
  treffen lassen!

En cuanto a los mensajes en inglés, sus características serán las siguientes:

Asuntos: Podrán ser alguno de los siguientes:

• The Whore Lived Like a German
• Turkish Tabloid Enrages Germany with Nazi Comparisons
• Dresden Bombing Is To Be Regretted Enormously
• Armenian Genocide Plagues Ankara 90 Years On

Los textos podrán ser algunos de los siguientes:

Full Article:
[dirección de mail]

Full Article:
[dirección de mail]

El troyano controla la hora y fecha actual sincronizándose con una lista de servidores NTP (Network Time Protocol o Protocolo de Tiempo de Red). Si la fecha es 23/5/2005 o posterior, en lugar de enviar mensajes, el troyano intenta descargar y ejecutar otro archivo de alguno de los siguientes dominios:

• people.freenet.de
• scifi.pages.at
• free.pages.at
• home.pages.at
• home.arcor.de

La lista de servidores NTP para la sincronización es la siguiente:

• Rolex.PeachNet.edu
• clock.psu.edu
• ntp3.fau.de
• utcnist.colorado.edu
• sundial.columbia.edu
• time-a.timefreq.bldrdoc.gov
• ntp-sop.inria.fr
• rolex.usg.edu
• time.xmission.com
• ntp.massayonet.com.br
• ntp-1.ece.cmu.edu
• time.nist.gov
• ntp.lth.se
• cuckoo.nevada.edu
• ntp-2.ece.cmu.edu
• time.kfki.hu
• ntp.pads.ufrj.br
• time-ext.missouri.edu
• os.ntp.carnet.hr
• timelord.uregina.ca
• ntp2b.mcc.ac.uk

El troyano también intenta establecer si existe una conexión a la red, intentando conectarse a alguno de los siguientes dominios:

• microsoft.com
• bigfoot.com
• yahoo.com
• t-online.de
• google.com
• hotmail.com

Si no existe una conexión, el troyano muestra el siguiente mensaje:

Memory Read in Winsock Module {0x0000001F} failed.
Restart your Computer to fix this problem.

El troyano intenta finalizar todos los procesos cuyo nombre contenga alguna de las siguientes cadenas:

• microsoftanti
• gcas
• gcip
• giantanti
• inetupd.
• nod32kui
• nod32.
• fxsob
• s-t-i-n-g
• hijack
• sober

El troyano intenta deshabilitar el cortafuego de Windows XP, modificando la siguiente entrada del registro:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "0"

También intenta deshabilitar la actualización automática de Windows, modificando la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Auto Update
AUOptions = "0"

El gusano busca el siguiente archivo en el sistema. Si el mismo existe, el gusano no se ejecuta:

• c:\windows\system32\bbvmwxxf.hml

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el archivo.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
   
   
5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Enciclopedia Virus

Fuente: red.es