Worm.W32/Sober@MM

Alias:
Win32/Sober.A (Enciclopedia Virus (Ontinent)), W32/Sober@MM (McAfee), W32.Sober@mm (Symantec)

Descripción:
Se propaga en forma masiva vía correo electrónico. El mensaje posee diferentes asuntos y textos en inglés y alemán. El nombre del archivo adjunto también varía, presentándose con extensiones .BAT, .COM, .EXE, .PIF, o .SCR.

Detalles:
Una de las características de este gusano, es que cuando se ejecuta por primera vez, muestra una ventana de error falsa con el siguiente texto:

  Error
  File not complete!
  [  OK  ]

Al mismo tiempo, el gusano se copia en la carpeta System de Windows:

c:\windows\system\drv.exe
c:\windows\system\similare.exe
c:\windows\system\systemchk.exe

De acuerdo a la versión de sistema operativo, las carpetas "C:\Windows" y "C:\Windows\System" pueden variar ("C:\WinNT", "C:\WinNT\System32", "C:\Windows\System32").

Crea luego las siguientes entradas del registro, para autoejecutarse en cada reinicio de Windows:

  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  syspath = c:\windows\system\drv.exe

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  syspath = c:\windows\system\drv.exe

Después de instalarse, se envía a todos los contactos de la libreta de direcciones, en mensajes con estas características: asuntos variables (ver la lista completa de posibles asuntos más abajo) y también cuerpos del mensaje variables. Por ejemplo:

Ejemplo 1:

  I permanently get Spam-Mails from you and inside
  is a virus!!
  You should remove these thing.

Ejemplo 2:

  Read the document, before another or my mailbox
  explode!
  Yours sincerely: [nombre falso]

Ejemplo 3:

  Sorry, but the ODIN Worm is probably on your
  computer!
  You should check this with the patch application.
  See you soon

Ejemplo 4:

  Kaspersky Lab Int. and Norton Anti Virus have
  found a new typ of worm.
  He calls itself  "ODIN" and he is very variable!

El posible archivo adjunto también figura más abajo.

Solución:

2. Edite las siguiente entradas:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. En las dos claves anteriores, borre la siguiente entrada en la ventana de la derecha:

syspath = c:\windows\system\drv.exe

4. Cierre el editor del Registro del sistema.

5. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Nombres de Ficheros Adjuntos:

• schnitzel.exe
• robotmailer.com
• robot_mailer.pif
• robot_mail.scr
• removal-tool.exe
• privat.exe
• potency.pif
• playme.exe
• pic.scr
• perversionen.scr
• perversion.scr
• odin_worm.exe
• nav.pif
• nackidei.com
• nacked.com
• mausi.scr
• love.com
• little-scr.scr
• liebe.com
• hengst.pif
• funny.scr
• cm-recover.com
• check-patch.bat
• bild.scr
• antitrojan.exe
• antivirusdoc.pif
• anti-trojan.exe
• anti-sob.bat
• anti_virusdoc.pif
• screen_doc.scr
• screen_doku.scr
• security.pif

Asunto del mensaje:

• Viurs blockiert jeden PC (Vorsicht!)
• Viurs blocked every PC (Take care!)
• Surprise
• Sorry, I"ve become your mail
• Sorry, Ich habe Ihre Mail bekommen
• Sie versenden Spam Mails (Virus?)
• Sie haben mir einen Wurm geschickt!
• RE: Sex
• Re: lol
• Re: Kontakt
• Re: Contact
• Now, it"s enough
• New Sobig-Worm variation (please read)
• Neuer Virus im Umlauf!
• Neue Sobig Variante (Lesen!!)
• Langsam reicht es mir
• Jetzt rate mal, wer ich bin !?
• I"ve become your mail!
• Ich Liebe Dich
• Ich habe Ihre E-Mail bekommen !
• I love you (I"m not a virus!)
• Hi Schnuckel was machst du so ?
• Hi Olle, lange niks mehr geh
• Hi darling, what are you doing now?
• Hey man, long not see you
• Ein Wurm ist auf Ihrem Computer!
• Be careful! New mail worm
• Back At The Funny Farm
• Advise who I am!
• A worm is on your computer!
• _berraschung
• VORSICHT!!! Neuer Mail Wurm
• You have sent me a virus!
• You send spam mails (Worm?)

Más información acerca de este virus en:

• Symantec
• McAfee

Fuente: red.es