SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Martes 3 de Mayo de 2005, 18:30
-
Peligrosidad: 3 - Media
Difusión: Media
Fecha de Alta:03-05-2005
Última Actualización:03-05-2005
Daño: Bajo
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sober.O@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 53554
Tamaño comprimido (bytes): 53728
Alias:W32.Sober.O@mm (Symantec), WORM_SOBER.S (Trend Micro), W32/Sober.V.worm (Panda Software), Win32.Sober.N (Computer Associates), W32/Sober.p@MM (McAfee), W32/Sober-N (Sophos), Sober.O@mm (Norman), Sober.P (F-Secure), Email-Worm.Win32.Sober.p (Kaspersky (viruslist.com)), Win32/Sober.O (ClamAV), Worm.Sober.P (ClamAV), Win32.Sober.O@mm (Bit Defender), Win32/Sober.O (ESET (NOD32)), Worm/Sober.P (Otros)
Detalles
Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:
Muestra un mensaje con el siguiente contenido:
Título: WinZip Self-Extractor
Mensaje: Error: CRC not complete
Crea los siguientes ficheros:
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
%Windir%\Connection Wizard\Status\sacri2.ggg
%Windir%\Connection Wizard\Status\sacri3.ggg
%Windir%\Connection Wizard\Status\voner1.von
%Windir%\Connection Wizard\Status\voner2.von
%Windir%\Connection Wizard\Status\voner3.von
%Windir%\Connection Wizard\Status\sysonce.tst
%Windir%\Connection Wizard\Status\fastso.ber
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa
Notas:
%Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).
%System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Los ficheros sacri1.ggg, sacri2.ggg, sacri3.ggg, voner1.von, voner2.von, voner3.von, sysonce.tst, fastso.ber, adcmmmmq.hjg, langeinf.lin, nonrunso.ber, seppelmx.smx, xcvfpokd.tqa no poseen contenido malicioso.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: " WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
Comprueba la disponibilidad de una conexión a red, contactando con un servidor NTP a través del puerto 37, o conectándose a alguno de los siguientes dominios:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
Obtiene direcciones electrónicas contenidas en ficheros de las siguientes extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
El gusano evita enviarse a aquellas direcciones electrónicas que contengan alguna de las siguientes cadenas de texo:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Intenta enviar una copia de sí mismo a las direcciones recopiladas.
El mensaje enviado podría estar escrito tanto en inglés como en alemán, y posee las siguientes características:
Alemán:
Asunto: uno de los siguientes:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung
Cuerpo del mensaje: uno de los siguientes:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[- dominio_aleatorio -]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[- dominio_aleatorio -]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Gerd.Graus@ok2006.de (http://mailto:Gerd.Graus@ok2006.de)
Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.[random domain]
Fichero Anexo: uno de los siguientes:
LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.
Inglés:
Asunto: uno de los siguientes:
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: [- vacío -]
Cuerpo del mensaje: uno de los siguientes:
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http:/ /www.[- dominio_aleatorio -]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Añade al final del mensaje alguno de los siguientes mensajes elegido aleatoriamente:
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[- dominio_aleatorio -]
Fichero Anexo: uno de los siguientes:
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip
Nota: El anexo es un fichero comprimido .zip, que contiene una copia del gusano.
El nombre del fichero contenido por el archivo .zip es alguno de los siguientes:
Winzipped-Text_Data.txt[- muchos espacios en blanco -].pif
Winzipped-Text_Data.txt[- muchos espacios en blanco -].exe.
Elimina, en caso de que existan, los siguientes ficheros:
%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe
Nota: %ProgramFiles% es una variable que hace referencia al directorio de 'Achivos de Programa'.
Por defecto es C:\Archivos de Programa.
Sobreescribe el fichero %Program Files%\Symantec\Liveupdate\luall.exe con una copia de sí mismo, en caso de que el archivo antes citado exista en el equipo infectado.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
account_info-text.zip
account_info.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
account_info-text.zip
account_info.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
Asunto del mensaje (virus que llegan por correo)
WM-Ticket-Auslosung
WM Ticket Verlosung
Glueckwunsch: Ihr WM Ticket
Ihre E-Mail wurde verweigert
Mail-Fehler!
Ihr Passwort
Re: - vacio -
Re:mailing error
Re:Your email was blocked
Re:Registration Confirmation
Re:Your Password
-
Sober.O Sigue acechando
Cuando Worm.W32/Sober.O@MM es ejecutado, realiza las siguientes acciones:
1. Muestra el siguiente mensaje:
(http://alerta-antivirus.red.es/imagenes/virus/sobero.gif)
Detectado en tránsito un gran número de correos electrónicos con una
nueva variante del gusano Sober. Se recomienda a los usuarios extremen
la precaución a la hora de abrir archivos adjuntos no solicitados, en
este caso especialmente los que nos lleguen en formato ZIP con el
cuerpo del mensaje en inglés.
En primer lugar destacar a los antivirus que han detectado esta nueva
variante desde el primer instante de su aparición, bien por heurística
o firma genérica, y por tanto han protegido a sus usuarios sin
necesidad de una actualización a posteriori.
Detección proactiva:
Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober
McAfee :: W32/Sober.gen@MM
Panda :: [TruPrevent]
A continuación los tiempos en ofrecer la actualización reactiva, a
posteriori de su aparición, con firmas de detección específicas.
Detección reactiva:
ClamAV 02.05.2005 18:39 :: Worm.Sober.P
Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p
F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm
BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O
Panda 02.05.2005 20:55 :: W32/Sober.V.worm
eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm
Antivir 02.05.2005 22:26 :: Worm/Sober.P
Norman 02.05.2005 22:51 :: Sober.O@mm
Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S
McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip
El gusano está programado en Visual Basic, el ejecutable original ha
ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por
correo electrónico comprimido bajo formato ZIP.
Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana
simulando un error de descompresión:
WinZip Self-Extractor
Error: CRC not complete
[OK]
Mientras que el usuario visualiza ese mensaje el gusano ya habrá
comenzado la infección del sistema. Copia en la carpeta Windows
dentro del subdirectorio \Connection Wizard\Status\ los archivos
%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg
Y en la carpeta de sistema de Windows los siguiente:
%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa
Además añade las típicas entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:
" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
tanto en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
como en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Para propagarse, busca en el sistema infectado direcciones de correo
electrónico en todos los archivos con extensión:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Evita enviarse aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Para enviarse por correo electrónico, en primer lugar examina la dirección
a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o
.LI se envía con textos en alemán, para el resto de direcciones lo hará
en inglés.
El archivo adjunto puede ser uno de los siguientes:
_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
free_PassWort-Info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip
El remite lo elige entre:
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster
Mientras que el asunto podrá ser alguno de los siguientes:
mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password
Y en el caso de la versión en alemán:
Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen ;)
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung
En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http:/ /www.[dominio]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Con una línea al final que elige entre:
Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[dominio]
Mientras que en la versión en alemán los textos pueden ser:
Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www (http://www).[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail
incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details
ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Gerd.Graus@ok2006.de (http://mailto:Gerd.Graus@ok2006.de)
Con una línea final que elige entre:
Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www (http://www).[dominio]