Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

 

W32/Sober.I. Se propaga con asuntos y textos al azar
 
VSantivirus No. 1597 Año 8, sábado 20 de noviembre de 2004

W32/Sober.I. Se propaga con asuntos y textos al azar
http://www.vsantivirus.com/sober-i.htm

Nombre: W32/Sober.I
Nombre NOD32: Win32/Sober.I
Tipo: Gusano de Internet
Alias: Sober.I, I-Worm.Sober.i, Sober.H@mm, Trojan.Win32.VB.qa, W32.Sober.I@MM, W32/Sober.H@mm, W32/Sober.I, W32/Sober.I.worm, W32/Sober.I@mm, W32/Sober.j@mm, W32/Sober.j@MM, W32/Sober-I, Win32.Sober.I, WORM_SOBER.I, Win32.Sober.I@mm, W32/Clonz.A
Fecha: 19/nov/04
Plataforma: Windows 32-bit
Tamaño: 25,851 bytes; 87,016 bytes (UPX)

Variante del Sober, detectado el 19 de noviembre de 2004. Escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, se propaga por correo electrónico, o es enviado en forma de spam. También puede ser instalado por otro malware.

En ocasiones, el gusano puede corromperse a si mismo, y por lo tanto no se ejecuta, aunque si puede instalarse. Cuando un equipo se infecta con esta versión corrupta, puede aparecer fugazmente una ventana de línea de comandos cuando Windows se reinicia.

Los mensajes enviados por el gusano tienen asuntos y textos al azar en inglés o alemán, que varían en cada infección.

Utiliza su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima.

El remitente siempre es falso, y es seleccionado al azar de la lista de direcciones a las que el gusano se envía. En ocasiones puede utilizar los siguientes dominios con un nombre seleccionado al azar:

bigfoot.com
google.com
hotmail.com
microsoft.com
t-online.de
yahoo.com

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de
.gmx
.li

Mensajes en inglés:

Asunto: [uno de los siguientes]

- Confirmation Key ??
- Confirmation_Key_??
- Delivery_failure_notice Key ??
- Delivery_failure_notice_Key_??
- Details Key ??
- Details_Key_??
- Faulty_mail delivery Key ??
- Faulty_mail delivery_Key_??
- illegal signs in your mail Key ??
- illegal signs in your mail_Key_??
- invalid mail Key ??
- invalid mail_Key_??
- mail delivery system Key ??
- mail delivery system_Key_??
- Mail delivery_failed Key ??
- Mail delivery_failed_Key_??
- Mail Error Key ??
- Mail Error_Key_??
- Mail_Delivery_failure Key ??
- Mail_Delivery_failure_Key_??
- Oh God it's Key ??
- Oh God it's_Key_??
- Registration confirmation Key ??
- Registration confirmation_Key_??
- Your mail password Key ??
- Your mail password_Key_??
- Your Password Key ??
- Your Password_Key_??

Donde "??" son números al azar.

El asunto puede estar precedido por un "FwD:" o un "Re:".

Texto del mensaje: [alguno de los siguientes]

Ejemplo 1:

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

*-*-* Mail_Scanner: No Virus
*-*-* [dominio]- Anti_Virus Service
*-*-* http://www.[dominio]

Ejemplo 2:

Your password was changed successfully!

*-*-* Mail_Scanner: No Virus
*-*-* [dominio]- Anti_Virus Service
*-*-* http://www.[dominio]

Ejemplo 3:

Protected message is attached!

*-*-* Mail_Scanner: No Virus
*-*-* [dominio]- Anti_Virus Service
*-*-* http://www.[dominio]

Ejemplo 4:

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii

++++++ User-Service: http://www.[dominio]
++++++ MailTo: postmaster [dominio]

Ejemplo 5:

Your password was changed successfully!

++++++ User-Service: http://www.[dominio]
++++++ MailTo: postmaster [dominio]

Ejemplo 6:

Protected message is attached!

++++++ User-Service: http://www.[dominio]
++++++ MailTo: postmaster [dominio]

Mensajes en alemán:

Asunto: [uno de los siguientes]

- Fehler in E-Mail - Code: ??
- Fehler in E-Mail - Damon: ??
- Fehler in E-Mail - SMTP: ??
- Ihre E-Mail wurde verweigert - Code: ??
- Ihre E-Mail wurde verweigert - Damon: ??
- Ihre E-Mail wurde verweigert - SMTP: ??
- Info von - Code: ??
- Info von - Damon: ??
- Info von - SMTP: ??
- Mailer Error - Code: ??
- Mailer Error - Damon: ??
- Mailer Error - SMTP: ??
- Mailzustellung fehlgeschlagen - Code: ??
- Mailzustellung fehlgeschlagen - Damon: ??
- Mailzustellung fehlgeschlagen - SMTP: ??
- Ung - Code: ??
- Ung - Damon: ??
- Ung - SMTP: ??

Donde "??" son números al azar.

El asunto puede estar precedido por un "FwD:" o un "Re:".

Texto del mensaje: [alguno de los siguientes]

Ejemplo 1:

Diese Information ist gesch
Da Sie uns Ihre Pers
Viel Vergn
****
Im I-Net unter: http://www.[dominio]

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

Ejemplo 2:

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

Ejemplo 3:

Folgende Fehler wurden aufgezeichnet:
STOP mailer

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

Ejemplo 4:

Aus Datenschutzrechtlichen Gnden, darf die 
vollstSndige E-Mail incl. Daten nur angehSngt werden.
Wir bitten Sie, dieses zu ber
Automatic-Mail.Config#:

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

Ejemplo 5:

Guten Tag,
da unsere Datenbanken leider durch einen Programm 
Fehler zerst
Ihre geSnderten Account Daten, befinden Sieim 
beigefgten Dokument.
Vielen Dank fr Ihr VerstSndnis.

-----<> GmbH & Co. KG
------ Send-To: Home-Service@.com
------ www.

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* Attachment-Scanner: NO VIRUS
*-*-* Anti_Virus: Es wurde kein Virus gefunden

Ejemplo 6:

Diese Information ist gesch
Da Sie uns Ihre Pers
Viel Vergn
****
Im I-Net unter: http://www.[dominio]

*-*-* - Anti_Virus Service
*-*-* http://www.

Ejemplo 7:

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.

*-*-* - Anti_Virus Service
*-*-* http://www.

Ejemplo 8:

Folgende Fehler wurden aufgezeichnet:
STOP mailer

*-*-* - Anti_Virus Service
*-*-* http://www.

Ejemplo 9:

Aus Datenschutzrechtlichen Gnden, darf die 
vollstSndige E-Mail incl. Daten nur angehSngt werden.
Wir bitten Sie, dieses zu ber
Automatic-Mail.Config#:

*-*-* - Anti_Virus Service
*-*-* http://www.

Ejemplo 10:

Guten Tag,
da unsere Datenbanken leider durch einen Programm 
Fehler zerst
Ihre geSnderten Account Daten, befinden Sieim 
beigefgten Dokument.
Vielen Dank fr Ihr VerstSndnis.

-----<> GmbH & Co. KG
------ Send-To: Home-Service@.com
------ www.

*-*-* - Anti_Virus Service
*-*-* http://www.

Datos adjuntos: [uno de los siguientes]

im_shocked.???
oh_nono.???
thats_hard.???

Donde ".???" pueden ser una o dos extensiones seguidas, seleccionadas de la siguiente lista:

.bat
.com
.doc
.exe
.pif
.scr
.txt
.zip

Ejemplos:

im_shocked.com
oh_nono.pif.scr

El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Si ello ocurre, se muestra un falso mensaje de error:

WinZip Self-Extractor
Win_Zip_Data_Module is missing ~Error: {2A0DCCF6}
[ Aceptar ]

El gusano libera dos copias de si mismo en la carpeta del sistema de Windows, seleccionando sus nombres de la siguiente lista:

c:\windows\system32\32.exe
c:\windows\system32\cry.exe
c:\windows\system32\data.exe
c:\windows\system32\diag.exe
c:\windows\system32\dir.exe
c:\windows\system32\disc.exe
c:\windows\system32\expoler.exe
c:\windows\system32\host.exe
c:\windows\system32\log.exe
c:\windows\system32\pt.exe
c:\windows\system32\run.exe
c:\windows\system32\service.exe
c:\windows\system32\smss32.exe
c:\windows\system32\spool.exe
c:\windows\system32\sys.exe
c:\windows\system32\win.exe

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea los siguientes archivos, conteniendo copias de si mismo codificadas en Base64 para su envío en los mensajes infectados:

c:\windows\system32\clsobern.isc
c:\windows\system32\nonzipsr.noz
c:\windows\system32\clonzips.ssc
c:\windows\system32\zippedsr.piz

Crea los siguientes archivos para almacenar las direcciones de correo obtenidas:

c:\windows\system32\winexerun.dal
c:\windows\system32\winmprot.dal
c:\windows\system32\winroot64.dal
c:\windows\system32\winsend32.dal

Adicionalmente crea estos archivos, todos de cero bytes:

c:\windows\system32\cvqaikxt.apk
c:\windows\system32\dgssxy.yoi
c:\windows\system32\odin-anon.ger
c:\windows\system32\sb2run.dii
c:\windows\system32\sysmms32.lla

Mantiene dos procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Dos de los archivos copiados en el sistema (los que poseen nombres al azar), se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza debe hacerse en modo a prueba de fallos.

Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system32\[nombre al azar] %srun%

Donde [nombre al azar] está formado por elementos de la siguiente lista:

32
crypt
data
diag
dir
disc
expoler
host
log
run
service
smss32
spool
sys
win
x

El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.aero
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.com
.coop
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.edu
.eml
.fdb
.frm
.gov
.hlp
.imb
.imh
.imh
.imm
.inbox
.info
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.museum
.nab
.name
.nch
.net
.nfo
.nsf
.nws
.ods
.oft
.org
.php
.pl
.pmr
.pp
.ppt
.pro
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@msn
@nai.
@panda
@smtp.
@sophos
@spiegel.
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
me@
mozilla
msdn.
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp@
office
password
postmas
reciver@
redaktion
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

El gusano intenta descargar y ejecutar un archivo desde un sitio remoto.

Periódicamente, el gusano comprueba la existencia de un archivo llamado SYSMMS32.LLA. Si existe, el gusano se auto desinstala de memoria. Si el mencionado archivo está presente en la carpeta System (o System32) de Windows antes de existir una infección, entonces el gusano no se instalará en dicho equipo.


Herramienta de limpieza automática:

Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

Future Time Srl (NOD 32)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=SoberI


Reparación manual

Antivirus


Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system32\32.exe
c:\windows\system32\clonzips.ssc
c:\windows\system32\clsobern.isc
c:\windows\system32\cry.exe
c:\windows\system32\cvqaikxt.apk
c:\windows\system32\data.exe
c:\windows\system32\dgssxy.yoi
c:\windows\system32\diag.exe
c:\windows\system32\dir.exe
c:\windows\system32\disc.exe
c:\windows\system32\expoler.exe
c:\windows\system32\host.exe
c:\windows\system32\log.exe
c:\windows\system32\nonzipsr.noz
c:\windows\system32\odin-anon.ger
c:\windows\system32\pt.exe
c:\windows\system32\run.exe
c:\windows\system32\sb2run.dii
c:\windows\system32\service.exe
c:\windows\system32\smss32.exe
c:\windows\system32\spool.exe
c:\windows\system32\sys.exe
c:\windows\system32\sysmms32.lla
c:\windows\system32\win.exe
c:\windows\system32\winexerun.dal
c:\windows\system32\winmprot.dal
c:\windows\system32\winroot64.dal
c:\windows\system32\winsend32.dal
c:\windows\system32\zippedsr.piz

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system32\[nombre al azar]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system32\[nombre al azar]

En todos los casos [nombre al azar] está formado por la combinación de algunos de estos elementos:

32
crypt
data
diag
dir
disc
expoler
host
log
run
service
smss32
spool
sys
win
x

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

19/11/04 - 16:03 -0200 (Herramienta de limpieza de NOD32)
21/11/04 - 04:57 -0200 (Descripción de versión corrupta)






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS