Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Sober.A. Muestra mensaje "File not complete!"
 
VSantivirus No. 1205 Año 7, Sábado 25 de octubre de 2003

 W32/Sober.A. Muestra mensaje "File not complete!"
http://www.vsantivirus.com/sober-a.htm

Nombre: W32/Sober.A
Tipo: Gusano de Internet
Alias: Sober, W32.Sober@mm, Win32/Sober.A, I-Worm.Sober, W32/Sober@MM, W32/Sober-A
Fecha: 24/oct/03
Plataforma: Windows 32-bit
Tamaño: 63,488 bytes

Gusano escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, que se envía en forma masiva por correo electrónico, utilizando su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima.

El mensaje posee diferentes asuntos en inglés y alemán. El nombre del adjunto también varía, así como la extensión (.bat, .com, .exe, .pif, o .scr).

Cuando se ejecuta, muestra un mensaje de error falso con el siguiente texto:

Error
File not complete!
[  OK  ]

Cuando ello sucede, sin importar la respuesta del usuario, el gusano se copia en la carpeta System de Windows:

c:\windows\system\drv.exe
c:\windows\system\similare.exe
c:\windows\system\systemchk.exe
c:\windows\system\systemini.exe

También crea la carpeta "help" y el archivo "media.dll" en "c:\windows\system\macromed", el cuál (a pesar de su extensión), en realidad es un archivo de texto que utiliza para almacenar las direcciones electrónicas a las que se envía:

c:\windows\system\macromed\help\media.dll

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Crea las siguientes entradas del registro, para autoejecutarse en cada reinicio de Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath = c:\windows\system\drv.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath = c:\windows\system\drv.exe

Luego, se envía a todos los contactos de la libreta de direcciones, en mensajes con estas características:

Uno de los siguientes asuntos:

_berraschung
A worm is on your computer!
Advise who I am!
Back At The Funny Farm
Be careful! New mail worm
Ein Wurm ist auf Ihrem Computer!
Hey man, long not see you
Hi darling, what are you doing now?
Hi Olle, lange niks mehr geh
Hi Schnuckel was machst du so ?
I love you (I'm not a virus!)
Ich habe Ihre E-Mail bekommen !
Ich Liebe Dich
I've become your mail!
Jetzt rate mal, wer ich bin !?
Langsam reicht es mir
Neue Sobig Variante (Lesen!!)
Neuer Virus im Umlauf!
New Sobig-Worm variation (please read)
Now, it's enough
Re: Contact
Re: Kontakt
Re: lol
RE: Sex
Sie haben mir einen Wurm geschickt!
Sie versenden Spam Mails (Virus?)
Sorry, Ich habe Ihre Mail bekommen
Sorry, I've become your mail
Surprise
Viurs blocked every PC (Take care!)
Viurs blockiert jeden PC (Vorsicht!)
VORSICHT!!! Neuer Mail Wurm
You have sent me a virus!
You send spam mails (Worm?)

Como texto del mensaje utiliza varios diferentes. Los siguientes son algunos ejemplos:

Ejemplo 1:

I permanently get Spam-Mails from you and inside
is a virus!!
You should remove these thing.

Ejemplo 2:

Read the document, before another or my mailbox
explode!
Yours sincerely: [nombre falso]

Ejemplo 3:

Sorry, but the ODIN Worm is probably on your
computer!
You should check this with the patch application.
See you soon

Ejemplo 4:

Kaspersky Lab Int. and Norton Anti Virus have
found a new typ of worm.
He calls itself "ODIN" and he is very variable!

Como archivo adjunto, uno de los siguientes:

anti_virusdoc.pif
anti-Sob.bat
Anti-Sob.bat
anti-sob.bat
anti-trojan.exe
AntiTrojan.exe
antitrojan.exe
AntiVirusDoc.pif
antivirusdoc.pif
Bild.scr
bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
cm-recover.com
funny.scr
Funny.scr
Hengst.pif
hengst.pif
Liebe.com
liebe.com
little-scr.scr
love.com
Mausi.scr
mausi.scr
nacked.com
NackiDei.com
nackidei.com
nav.pif
Odin_Worm.exe
odin_worm.exe
perversion.scr
Perversionen.scr
perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
robotmailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
screen_doku.scr
security.pif


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\drv.exe
c:\windows\system\similare.exe
c:\windows\system\systemchk.exe
c:\windows\system\macromed\help\media.dll

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares al descripto antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

syspath

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

syspath

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

27/oct/03 - Ampliación de la descripción
27/oct/03 - Alias: W32/Sober-A




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS