Autor Tema: Sober.p (Leído 1342 veces)

RadicalEd · « **en:** Lunes 23 de Mayo de 2005, 19:24 »

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:23-05-2005
Última Actualización:23-05-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sober.P@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Alias:WIN32/SOBER.P (Enciclopedia Virus), Email-Worm.Win32.Sober.q (ClamAV), W32/Sober.q@MM (McAfee), Win32.Sober.Q@mm (Otros)
Detalles

Instalación

En su ejecución, intentará abrir el bloc de notas en el que mostrará un texto que comienza con las siguientes líneas:

Mail-Text:
Unzip failed

Crea los siguientes archivos:

* c:\windows\msagent\system\smss.exe
* c:\windows\msagent\win32\emdata.mmx
* c:\windows\msagent\win32\zipzip.zab
* c:\windows\nonrunso.ber
* c:\windows\read.me
* c:\windows\stopruns.zhz
* c:\windows\xcvfpokd.tqa

Según la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Services.dll = "c:\windows\msagent\system\smss.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_Services.dll = "c:\windows\msagent\system\smss.exe"

Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

* .abc
* .abd
* .abx
* .adb
* .ade
* .adp
* .adr
* .asp
* .bak
* .bas
* .cfg
* .cgi
* .cls
* .cms
* .csv
* .ctl
* .dbx
* .dhtm
* .doc
* .dsp
* .dsw
* .eml
* .fdb
* .frm
* .hlp
* .imb
* .imh
* .imh
* .imm
* .inbox
* .ini
* .jsp
* .ldb
* .ldif
* .log
* .mbx
* .mda
* .mdb
* .mde
* .mdw
* .mdx
* .mht
* .mmf
* .msg
* .nab
* .nch
* .nfo
* .nsf
* .nws
* .ods
* .oft
* .php
* .phtm
* .pl
* .pmr
* .pp
* .ppt
* .pst
* .rtf
* .shtml
* .slk
* .sln
* .stm
* .tbb
* .txt
* .uin
* .vap
* .vbs
* .vcf
* .wab
* .wsh
* .xhtml
* .xls
* .xml

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

* .dial.
* .kundenserver.
* .ppp.
* .qmail@
* .sul.t-
* @arin
* @avp
* @ca.
* @example.
* @foo.
* @from.
* @gmetref
* @iana
* @ikarus.
* @kaspers
* @messagelab
* @nai.
* @panda
* @smtp.
* @sophos
* @www
* abuse
* announce
* antivir
* anyone
* anywhere
* bellcore.
* bitdefender
* clock
* -dav
* detection
* domain.
* emsisoft
* ewido.
* freeav
* free-av
* ftp.
* gold-certs
* google
* host.
* icrosoft.
* ipt.aol
* law2
* linux
* mailer-daemon
* mozilla
* mustermann@
* nlpmail01.
* noreply
* nothing
* ntp-
* ntp.
* ntp@
* office
* password
* postmas
* reciver@
* secure
* service
* smtp-
* somebody
* someone
* spybot
* sql.
* subscribe
* support
* t-dialin
* test@
* time
* t-ipconnect
* user@
* variabel
* verizon.
* viren
* virus
* whatever@
* whoever@
* winrar
* winzip
* you@
* yourname

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía sus mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

* .at
* .ch
* .de
* .li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes características:

Mensaje en inglés:

* Remitente: [remitente falso]

* Asunto:Your Password & Account number

* Texto:

hi,
i"ve got an admin mail with a Password and Account info!
but the mail recipient are you! it"s probably an esmtp
error, i think.
i"ve copied the full mail text in the Windows text-editor
& zipped.
ok, cya...

* Adjunto:

o acc_text.zip

Mensaje en alemán:

* Remitente: [remitente falso]

* Asunto:Ich habe Ihre E-Mail bekommen!

* Texto:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und
gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer
das diese Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.
Gruss

* Adjunto:

o MailTexte.zip

En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre y doble extensión:
# mail_text-data.txt .pif

Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.

En determinada fecha, el gusano descarga un troyano que no posee la posibilidad de propagarse por si solo, pero que es capaz de abrir una puerta trasera en las máquinas ya infectadas, que serán utilizadas para la emisión de correo basura masivo(spam).

El troyano descargado crea los siguientes archivos:

* c:\windows\Help\Help\services.exe
* c:\windows\Help\Help\csrss.exe
* c:\windows\Help\Help\smss.exe

Crea además la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SystemBoot = "c:\windows\Help\Help\services.exe"

También libera los siguientes archivos en la misma carpeta donde se ejecuta:

* sacri2.ggg
* sacri3.ggg
* voner1.von
* voner2.von
* voner3.von
* sysonce.tst
* fastso.ber

Crea el siguiente archivo:

* c:\windows\system32\Spammer.Readme

Este archivo contiene el siguiente texto:

[dirección de mail]
[dirección de mail]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden

In diesem Sinne

in the file c:\windows\system32\Spammer.Readme

El troyano también crea los siguientes archivos vacíos en la carpeta de Windows y en la que se ejecute el mismo:

* adcmmmmq.hjg
* seppelmx.smx
* xcvfpokd.tqa
* gdfjgthv.cvq
* langeinf.lin

Estos archivos son creados para deshabilitar versiones anteriores del Sober.

Si la fecha está entre el 15/5/2005 y 22/5/2005, el troyano inicia su rutina de envío masivo de spam. Esta acción tiene como resultado un notorio aumento de correo no solicitado, donde casi todos los mensajes contienen asuntos y textos en alemán e inglés, con contenido político ultra-derechista.

Las direcciones para enviarse, son obtenidas en archivos con las siguientes extensiones:

* .pmr
* .phtm
* .stm
* .slk
* .inbox
* .imb
* .csv
* .bak
* .imh
* .xhtml
* .imm
* .imh
* .cms
* .nws
* .vcf
* .ctl
* .dhtm
* .cgi
* .pp
* .ppt
* .msg
* .jsp
* .oft
* .vbs
* .uin
* .ldb
* .abc
* .pst
* .cfg
* .mdw
* .mbx
* .mdx
* .mda
* .adp
* .nab
* .fdb
* .vap
* .dsp
* .ade
* .sln
* .dsw
* .mde
* .frm
* .bas
* .adr
* .cls
* .ini
* .ldif
* .log
* .mdb
* .xml
* .wsh
* .tbb
* .abx
* .abd
* .adb
* .pl
* .rtf
* .mmf
* .doc
* .ods
* .nch
* .xls
* .nsf
* .txt
* .wab
* .eml
* .hlp
* .mht
* .nfo
* .php
* .asp
* .shtml
* .dbx

El troyano ignora las direcciones que contengan alguna de las siguientes cadenas en su nombre:

* ntp-
* ntp@
* ntp.
* test@
* @www
* @from.
* smtp-
* @smtp.
* gold-certs
* ftp.
* .dial.
* .ppp.
* anyone
* subscribe
* announce
* @gmetref
* sql.
* someone
* nothing
* you@
* user@
* reciver@
* somebody
* secure
* whatever@
* whoever@
* anywhere
* yourname
* mustermann@
* .kundenserver.
* mailer-daemon
* variabel
* noreply
* -dav
* law2
* .sul.t-
* .qmail@
* t-ipconnect
* t-dialin
* ipt.aol
* time
* freeav
* @ca.
* abuse
* winrar
* domain.
* host.
* viren
* bitdefender
* spybot
* detection
* ewido.
* emsisoft
* linux
* google
* @foo.
* winzip
* @example.
* bellcore.
* @arin
* mozilla
* iana@
* iana-
* @iana
* @avp
* icrosoft.
* @sophos
* @panda
* @kaspers
* free-av
* antivir
* virus
* verizon.
* @ikarus.
* @nai.
* @messagelab
* nlpmail01.
* clock

El troyano envía los siguientes mensajes en alemán o inglés:

Mensajes en alemán:

Asuntos: Podrán ser alguno de los siguientes:

* 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
* Auf Streife durch den Berliner Wedding
* Auslaender bevorzugt
* Deutsche Buerger trauen sich nicht ...
* Auslaenderpolitik
* Blutige Selbstjustiz
* Deutsche werden kuenftig beim Arzt abgezockt
* Paranoider Deutschenmoerder kommt in Psychia trie
* Deutsche werden kuenftig beim Arzt abgezockt
* Du wirst zum Sklaven gemacht!!!
* Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
* Gegen das Vergessen
* Tuerkei in die EU
* Hier sind wir Lehrer die einzigen Auslaender
* Multi-Kulturell = Multi-Kriminell
* S.O.S. Kiez! Polizei schlaegt Alarm
* Transparenz ist das Mindeste
* Trotz Stellenabbau
* Vorbildliche Aktion
* Du wirst ausspioniert ....!
* Volk wird nur zum zahlen gebraucht!
* 60 Jahre Befreiung: Wer feiert mit?
* Graeberschaendung auf bundesdeutsche Anordnung
* Schily ueber Deutschland

Los textos podrán ser algunos de los siguientes:

[dirección de mail]
Neue Dokumente:
[dirección de mail]
Botschafter in Kiew beschwerte sich noch 2004:
[dirección de mail]
Traumziel Deutschland:
Ohne Deutsch nach Deutschland:
[dirección de mail]
[dirección de mail]
Kanzler erleichtert Visaverfahren fr Golfstaaten:
[dirección de mail]
Vorbildliche Aktion:
[dirección de mail]

[dirección de mail]
[dirección de mail]

[dirección de mail]
Jetzt weiss man auch, wie es dazu kommt, dass Drogen,
Waffen & Handy"s in die Haende der Knacki"s gelangen!

Auslaenderbanden terrorisieren Wahlkampf - deutsche
Buerger trauen sich nicht ihre Meinung zu sagen!
Weiter auf:
[dirección de mail]
Auslaender ueberfallen nationale Aktivisten:
[dirección de mail]
[dirección de mail]

[dirección de mail]

[dirección de mail]
Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans
sind kaum noch zu durchdringen. Die Gerichte tragen
Mitschuld.
Weiter auf:
[dirección de mail]

[dirección de mail]
EU-Abgeordnete goennen sich luxurioese Vollversorgung:
[dirección de mail]
Deutsche Krankenversicherungen muessen fuer
Harems-Frauen zahlen:
[dirección de mail]
Kassenfunktionaere vervierfachten Gehalt:
[dirección de mail]

[dirección de mail]

[dirección de mail]
Immer mehr Frauen prostituieren sich:
[dirección de mail]
STAATSPROPAGANDA:
[dirección de mail]

[dirección de mail]

[dirección de mail]

In den fruehen Abendstunden des 13. Februar 1945 gegen
21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden
das erste mal auf. Die Bewohner der Elbmetropole machten
sich zu der Zeit noch keine Sorgen, da Dresden als Stadt
ohne Bewaffnungund ohne militaerischen Nutzen bekannt
war und von ca. 1,2 Millionen Frauen, Kindern und Greisen
bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch,
dadie alliierten Bomberverbaende ihren Kurs geaendert
haben und nun auf Dresden zufliegen. Kurz darauf befanden
sich 244 britische Bomber am Himmel der deutschen
Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle
- es befanden sich bereits alle
verfuegbarenRettungsmannschaften, Sanitaeter und
Feuerwehmaenner in Dresden - verdunkelten weitere 500
Bomber den Himmel. Am naechsten Tag folgte die letzte
Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen
12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben
ab. - Das entspricht mehr als 85 Tonnen pro Minute. Nach
dem Abwerfen setzten die US-Bomber zum Tiefflug an und
beschossen Fluechtende mit ihren Bordwaffen. In diesen
drei Angriffsschlaegen, die insgesamt 14 Stunden
andauerten, warfen die Befreier 650.000 Brandbomben und
200.000 Sprengbomben ab, welche einen Feuersturm von
ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden
weder Flugabwehr, noch Ruestungsindustrie oder aehnliche
kriegswichtige Ziele besass wurden weit mehr als 350.000
unschuldige deutsche Zivilisten in diesen zwei Tagen
kaltbluetig ermordet. Keiner der schuldigen Alliierten
wurde jemals fuer dieses brutale Kriegsverbrechen auchnur
angeklagt und die Massenmedien und die bundesdeutsche
Regierung schweigen diese Taten tot und sehen es nicht als
noetig an den Opfern zu gedenken.!

GEWALTEXZESS:
[dirección de mail]
Politiker zerrei t Menschenrechtsbericht:
[dirección de mail]
Schily = Hitler
[dirección de mail]
Schily wehrt sich gegen Hitler-Vergleiche:
[dirección de mail]
Sie hat ja wie eine Deutsche gelebt:
[dirección de mail]
[dirección de mail]
Parallelgesellschaften - Feind hoerte mit:
[dirección de mail]
Sie war unerlaubt spazieren:
[dirección de mail]
Tiere an Autobahn geschlachtet:
[dirección de mail]

[dirección de mail]
[dirección de mail]

und weisst es nicht einmal: [dirección de mail]

[dirección de mail]
... damit Sie nicht als der erste Kanzler in die deutsche
Geschichte eingehen, der Untertanen verboten hat, aus
ihren Fenstern auf die Strasse zu gucken - selbst Nazis
und Stalinisten haben niemals eine aehnliche Anordnung
treffen lassen!

En cuanto a los mensajes en inglés, sus características serán las siguientes:

Asuntos: Podrán ser alguno de los siguientes:

* The Whore Lived Like a German
* Turkish Tabloid Enrages Germany with Nazi Comparisons
* Dresden Bombing Is To Be Regretted Enormously
* Armenian Genocide Plagues Ankara 90 Years On

Los textos podrán ser algunos de los siguientes:

Full Article:
[dirección de mail]

Full Article:
[dirección de mail]

El troyano controla la hora y fecha actual sincronizándose con una lista de servidores NTP (Network Time Protocol o Protocolo de Tiempo de Red). Si la fecha es 23/5/2005 o posterior, en lugar de enviar mensajes, el troyano intenta descargar y ejecutar otro archivo de alguno de los siguientes dominios:

* people.freenet.de
* scifi.pages.at
* free.pages.at
* home.pages.at
* home.arcor.de

La lista de servidores NTP para la sincronización es la siguiente:

* Rolex.PeachNet.edu
* clock.psu.edu
* ntp3.fau.de
* utcnist.colorado.edu
* sundial.columbia.edu
* time-a.timefreq.bldrdoc.gov
* ntp-sop.inria.fr
* rolex.usg.edu
* time.xmission.com
* ntp.massayonet.com.br
* ntp-1.ece.cmu.edu
* time.nist.gov
* ntp.lth.se
* cuckoo.nevada.edu
* ntp-2.ece.cmu.edu
* time.kfki.hu
* ntp.pads.ufrj.br
* time-ext.missouri.edu
* os.ntp.carnet.hr
* timelord.uregina.ca
* ntp2b.mcc.ac.uk

El troyano también intenta establecer si existe una conexión a la red, intentando conectarse a alguno de los siguientes dominios:

# microsoft.com
# bigfoot.com
# yahoo.com
# t-online.de
# google.com
# hotmail.com

Si no existe una conexión, el troyano muestra el siguiente mensaje:

Memory Read in Winsock Module {0x0000001F} failed.
Restart your Computer to fix this problem.

El troyano intenta finalizar todos los procesos cuyo nombre contenga alguna de las siguientes cadenas:

* microsoftanti
* gcas
* gcip
* giantanti
* inetupd.
* nod32kui
* nod32.
* fxsob
* s-t-i-n-g
* hijack
* sober

El troyano intenta deshabilitar el cortafuego de Windows XP, modificando la siguiente entrada del registro:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
EnableFirewall = "0"

También intenta deshabilitar la actualización automática de Windows, modificando la siguiente entrada:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Auto Update
AUOptions = "0"

El gusano busca el siguiente archivo en el sistema. Si el mismo existe, el gusano no se ejecuta:

* c:\windows\system32\bbvmwxxf.hml

Asunto del mensaje (virus que llegan por correo)

* Gegen das Vergessen
* Tuerkei in die EU
* Dresden 1945
* Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
* Du wirst zum Sklaven gemacht!!!
* Paranoider Deutschenmoerder kommt in Psychia trie
* Deutsche werden kuenftig beim Arzt abgezockt
* Blutige Selbstjustiz
* Deutsche Buerger trauen sich nicht ...
* Auslaenderpolitik
* Auslaender bevorzugt
* Auf Streife durch den Berliner Wedding
* 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
* Ich habe Ihre E-Mail bekommen!
* Your Password & Account number
* Hier sind wir Lehrer die einzigen Auslaender
* Multi-Kulturell = Multi-Kriminell

SoloCodigo

Autor Tema: Sober.p (Leído 1342 veces)

RadicalEd

Sober.p