• Viernes 15 de Noviembre de 2024, 04:40
« anterior próximo »
Páginas: [1]

Autor Tema:  Sober.o  (Leído 1690 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Sober.o
« en: Martes 3 de Mayo de 2005, 18:30 »
0
Peligrosidad: 3 - Media  
Difusión: Media
Fecha de Alta:03-05-2005
Última Actualización:03-05-2005
Daño:  Bajo
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sober.O@MM    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 53554
Tamaño comprimido (bytes): 53728
Alias:W32.Sober.O@mm (Symantec), WORM_SOBER.S (Trend Micro), W32/Sober.V.worm (Panda Software), Win32.Sober.N (Computer Associates), W32/Sober.p@MM (McAfee), W32/Sober-N (Sophos), Sober.O@mm (Norman), Sober.P (F-Secure), Email-Worm.Win32.Sober.p (Kaspersky (viruslist.com)), Win32/Sober.O (ClamAV), Worm.Sober.P (ClamAV), Win32.Sober.O@mm (Bit Defender), Win32/Sober.O (ESET (NOD32)), Worm/Sober.P (Otros)
Detalles
Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:
Muestra un mensaje con el siguiente contenido:
Título: WinZip Self-Extractor
Mensaje: Error:  CRC not complete

Crea los siguientes ficheros:
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
%Windir%\Connection Wizard\Status\sysonce.tst
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

Notas:
%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Los ficheros sacri1.ggg, sacri2.ggg, sacri3.ggg, voner1.von, voner2.von, voner3.von, sysonce.tst, fastso.ber, adcmmmmq.hjg, langeinf.lin, nonrunso.ber, seppelmx.smx, xcvfpokd.tqa no poseen contenido malicioso.


Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: " WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

Comprueba la disponibilidad de una conexión a red, contactando con un servidor NTP a través del puerto 37, o conectándose a alguno de los siguientes dominios:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com


Obtiene direcciones electrónicas contenidas en ficheros de las siguientes extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

El gusano evita enviarse a aquellas direcciones electrónicas que contengan alguna de las siguientes cadenas de texo:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname


Intenta enviar una copia de sí mismo a las direcciones recopiladas.

El mensaje enviado podría estar escrito tanto en inglés como en alemán, y posee las siguientes características:
Alemán:

Asunto: uno de los siguientes:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung

Cuerpo del mensaje: uno de los siguientes:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[- dominio_aleatorio -]
*-* MailTo: PasswordHelp


Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[- dominio_aleatorio -]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#


Nun sieh dir das mal an
Was ein Ferkel ....


Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Gerd.Graus@ok2006.de


Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]

Fichero Anexo: uno de los siguientes:
LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip

Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.
Inglés:

Asunto: uno de los siguientes:
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: [- vacío -]

Cuerpo del mensaje: uno de los siguientes:
ok ok ok,,,,, here is it


Account and Password Information are attached!
Visit: http:/ /www.[- dominio_aleatorio -]


This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached


Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[- dominio_aleatorio -]

Fichero Anexo: uno de los siguientes:
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip

Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.


Elimina, en caso de que existan, los siguientes ficheros:
%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe

Nota: %ProgramFiles% es una variable que hace referencia al directorio de 'Achivos de Programa'.
Por defecto es C:\Archivos de Programa.


Sobreescribe el fichero %Program Files%\Symantec\Liveupdate\luall.exe con una copia de sí mismo, en caso de que el archivo antes citado exista en el equipo infectado.
 
Nombres de Ficheros Adjuntos (virus que llegan por correo)
account_info-text.zip
account_info.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
account_info-text.zip
account_info.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
 
Asunto del mensaje (virus que llegan por correo)
WM-Ticket-Auslosung
WM Ticket Verlosung
Glueckwunsch: Ihr WM Ticket
Ihre E-Mail wurde verweigert
Mail-Fehler!
Ihr Passwort
Re: - vacio -
Re:mailing error
Re:Your email was blocked
Re:Registration Confirmation
Re:Your Password
 
El pasado son solo recuerdos, el futuro son solo sueños

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Sober.o
« Respuesta #1 en: Miércoles 4 de Mayo de 2005, 17:27 »
0
Sober.O Sigue acechando

Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:

   1. Muestra el siguiente mensaje:



Detectado en tránsito un gran número de correos electrónicos con una
nueva variante del gusano Sober. Se recomienda a los usuarios extremen
la precaución a la hora de abrir archivos adjuntos no solicitados, en
este caso especialmente los que nos lleguen en formato ZIP con el
cuerpo del mensaje en inglés.

En primer lugar destacar a los antivirus que han detectado esta nueva
variante desde el primer instante de su aparición, bien por heurística
o firma genérica, y por tanto han protegido a sus usuarios sin
necesidad de una actualización a posteriori.

Detección proactiva:

Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober
McAfee :: W32/Sober.gen@MM
Panda :: [TruPrevent]

A continuación los tiempos en ofrecer la actualización reactiva, a
posteriori de su aparición, con firmas de detección específicas.

Detección reactiva:

ClamAV 02.05.2005 18:39 :: Worm.Sober.P
Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p
F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm
BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O
Panda 02.05.2005 20:55 :: W32/Sober.V.worm
eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm
Antivir 02.05.2005 22:26 :: Worm/Sober.P
Norman 02.05.2005 22:51 :: Sober.O@mm
Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S
McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip

El gusano está programado en Visual Basic, el ejecutable original ha
ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por
correo electrónico comprimido bajo formato ZIP.

Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana
simulando un error de descompresión:

WinZip Self-Extractor
Error: CRC not complete
[OK]

Mientras que el usuario visualiza ese mensaje el gusano ya habrá
comenzado la infección del sistema. Copia en la carpeta Windows
dentro del subdirectorio \Connection Wizard\Status\ los archivos

%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg

Y en la carpeta de sistema de Windows los siguiente:

%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

Además añade las típicas entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

tanto en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
como en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Para propagarse, busca en el sistema infectado direcciones de correo
electrónico en todos los archivos con extensión:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Evita enviarse aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Para enviarse por correo electrónico, en primer lugar examina la dirección
a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o
.LI se envía con textos en alemán, para el resto de direcciones lo hará
en inglés.

El archivo adjunto puede ser uno de los siguientes:


_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
free_PassWort-Info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

El remite lo elige entre:

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Mientras que el asunto podrá ser alguno de los siguientes:

mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password

Y en el caso de la versión en alemán:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen ;)
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung


En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

Con una línea al final que elige entre:

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[dominio]


Mientras que en la versión en alemán los textos pueden ser:

Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp


Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail
incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#


Nun sieh dir das mal an
Was ein Ferkel ....

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details
ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Gerd.Graus@ok2006.de

Con una línea final que elige entre:

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www.[dominio]
El pasado son solo recuerdos, el futuro son solo sueños
Páginas: [1]
« anterior próximo »