Nombre:Worm/Sober.Y
Número de identificación CME:681
Descubierto:15/11/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Alto
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:55.390 Bytes
Suma de control MD5:cb73f0c6d0a20e191c21cc47dff1e471
Versión del VDF:6.32.00.180
Eurístico:Worm/Sober.Gen

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Sober
   •  Kaspersky: Email-Worm.Win32.Sober.y
   •  Sophos: W32/Sober-Z
   •  Grisoft: I-Worm/Sober.CF
   •  VirusBuster: iworm I-Worm.Sober.AI
   •  Bitdefender: Win32.Sober.AD@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\WinSecurity\services.exe
   • %WINDIR%\WinSecurity\smss.exe
   • %WINDIR%\WinSecurity\csrss.exe



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %WINDIR%\WinSecurity\starter.run
   • %WINDIR%\WinSecurity\nexttroj.tro

– Copias codificadas MIME de si mismo:
   • %WINDIR%\WinSecurity\socket1.ifo
   • %WINDIR%\WinSecurity\socket2.ifo
   • %WINDIR%\WinSecurity\socket3.ifo

– Ficheros que contienen direcciones de correo recolectadas:
   • %WINDIR%\WinSecurity\mssock1.dli
   • %WINDIR%\WinSecurity\mssock2.dli
   • %WINDIR%\WinSecurity\mssock3.dli
   • %WINDIR%\WinSecurity\winmem1.ory
   • %WINDIR%\WinSecurity\winmem2.ory
   • %WINDIR%\WinSecurity\ winmem3.ory

– Ficheros para desactivar versiones anteriores suyas:
   • %SYSDIR%\bbvmwxxf.hml
   • %SYSDIR%\langeinf.lin
   • %SYSDIR%\nonrunso.ber
   • %SYSDIR%\rubezahl.rub
   • %SYSDIR%\filesms.fms
   • %SYSDIR%\runstop.rst




Intenta descargar un fichero:

La sincronización de tiempo mediante el protocolo NTP está incluida en el código del virus y se autoactiva en el siguiente momento:
Fecha: 06/01/2006
Hora: 00:00 UTC (Tiempo universal coordinado)

El listado de URLs se modifica según el siguiente intervalo: 14 días


– Las direcciones son las siguientes:
   • free.pages.at/emcndvwoemn/**********
   • home.arcor.de/dixqshv/**********
   • home.arcor.de/jmqnqgijmng/**********
   • home.arcor.de/nhirmvtg/**********
   • home.arcor.de/ocllceclbhs/**********
   • home.arcor.de/srvziadzvzr/**********
   • home.pages.at/npgwtjgxwthx/**********
   • people.freenet.de/fseqepagqfphv/**********
   • people.freenet.de/mclvompycem/**********
   • people.freenet.de/qisezhin/**********
   • people.freenet.de/smtmeihf/**********
   • people.freenet.de/urfiqileuq/**********
   • people.freenet.de/wjpropqmlpohj/**********
   • people.freenet.de/zmnjgmomgbdz/**********
   • scifi.pages.at/zzzvmkituktgr/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows"="%WINDIR%\WinSecurity\services.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_Windows"="%WINDIR%\WinSecurity\services.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


Condiciones de activación:
Empieza la rutina de envío de correos según la hora obtenida mediante el protocolo NTP.
–  Fecha: 21/11/2005
–  Hora: 7 PM (GMT)


De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Account Information; Account_Information; Ermittlungsverfahren wurde
      eingeleitet; Ermittlungsverfahren_wurde_eingeleitet; hi, ive a new
      mail address; hi,_ive_a_new_mail_address; Ihr Passwort; Ihr_Passwort;
      Mail delivery failed; Mail_delivery_failed; Mailzustellung wurde
      unterbrochen; Mailzustellung_wurde_unterbrochen; Paris Hilton & Nicole
      Richie; Paris_Hilton_&_Nicole_Richie; Registration Confirmation;
      Registration_Confirmation; RTL: Wer wird Millionaer;
      RTL:_Wer_wird_Millionaer; Sehr geehrter Ebay-Kunde;
      Sehr_geehrter_Ebay-Kunde; Sie besitzen Raubkopien;
      Sie_besitzen_Raubkopien; smtp mail failed; SMTP Mail gescheitert;
      smtp_mail_failed; SMTP_Mail_gescheitert; You visit illegal websites;
      You_visit_illegal_websites; Your IP was logged; Your Password;
      Your_IP_was_logged; Your_Password



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Bei uns wurde ein neues Benutzerkonto mit dem Namen "%serie de caracteres aleatorios%" beantragt.
     Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
     Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
     
     Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
     
     Vielen Dank,
     
     Ihr Ebay-Team

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
     Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP %dirección IP% erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     Aktenzeichen NR.:
     %serie de caracteres aleatorios de cuatro dígitos% (siehe Anhang)
     
     Hochachtungsvoll
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0

   • Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
     
     *** http://www.%el dominio del remitente desde la dirección de correo%
     *** E-Mail: PassAdmin@%el dominio del remitente desde la dirección de correo%

   • Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
     Sie sitzen demnaechst bei Guenther Jauch im Studio!
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     +++ RTL interactive GmbH
     +++ Geschaeftsfuehrung: Dr. Constantin Lange
     +++ Am Coloneum 1
     +++ 50829 Koeln
     +++ Fon: +49(0) 221-780 0 oder
     +++ Fon: +49 (0) 180 5 44 66 99

   • Dear Sir/Madam,
     
     we have logged your IP-address on more than 30 illegal Websites.
     
     Important:
     Please answer our questions!
     The list of questions are attached.
     
     Yours faithfully,
     Steven Allison
     
     *** Federal Bureau of Investigation -FBI-
     *** 935 Pennsylvania Avenue, NW, Room 3220
     *** Washington, DC 20535
     *** phone: (202) 324-3000

   • hey its me, my old address dont work at time. i dont know why?!
     in the last days ive got some mails. i' think thaz your mails but im not sure!
     
     plz read and check ...
     cyaaaaaaa

   • The Simple Life:
     
     View Paris Hilton & Nicole Richie video clips , pictures & more ;)
     Download is free until Jan, 2006!
     
     Please use our Download manager.

   • Account and Password Information are attached!
     
     ***** Go to: http://www.%el dominio del remitente desde la dirección de correo%
     ***** Email: postman@%el dominio del remitente desde la dirección de correo%

   • This is an automatically generated Delivery Status Notification.
     
     SMTP_Error []
     I'm afraid I wasn't able to deliver your message.
     This is a permanent error; I've given up. Sorry it didn't work out.
     
     The full mail-text and header is attached!

   • Protected message is attached!
     
     
     ***** Go to: http://www.%el dominio del remitente desde la dirección de correo%
     ***** Email: postman@%el dominio del remitente desde la dirección de correo%


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

–  Puede empezar con:
   • Admin
   • Akte
   • Anzeige
   • Auslosung
   • BKA
   • BKA.Bund
   • Casting
   • downloadm
   • Download
   • Ebay
   • Ebay-User_RegC
   • Ebay-User%varios dígitos aleatorios%_RegC
   • Email
   • Gewinn
   • Hostmaster
   • Kandidat
   • Info
   • Internet
   • list
   • mail
   • mailtext
   • question_list
   • Post
   • Postman
   • Postmaster
   • reg_pass
   • RTL-Admin
   • RTL
   • RTL-TV
   • Service
   • Webmaster
   • WWM
   • %serie de caracteres aleatorios%
   • %informaciones robadas%

A veces seguido por una de las siguientes:
   • _body
   • -data
   • -TextInfo
   • _text
   • _Text
   • %serie de caracteres aleatorios%

    La extensión del fichero es una de las siguientes:
   • zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • abc; abd; abx; adb; ade; adp; adr; asp; bak; bas; cfg; cgi; cls; cms;
      csv; ctl; dbx; dhtm; doc; dsp; dsw; eml; fdb; frm; hlp; imb; imh; imh;
      imm; inbox; ini; jsp; ldb; ldif; log; mbx; mda; mdb; mde; mdw; mdx;
      mht; mmf; msg; nab; nch; nfo; nsf; nws; ods; oft; php; pl; pmr; pp;
      ppt; pst; rtf; shtml; slk; sln; stm; tbb; txt; uin; vap; vbs; vcf;
      wab; wsh; xhtml; xls; xml


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Admin; Anzeige; Auslosung; BKA; BKA.Bund; Casting; Department;
      Downloads; Gewinn; Hostmaster; hostmaster; info; Info; Internet;
      Kandidat; Mail; office; Post; Postman; RTL; RTL-TV; RTL-Admin;
      Service; webmaster; WWM

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • BKA.de
   • bka.bund.de
   • cia.gov
   • fbi.gov
   • RTL.de
   • RTLWorld.de
   • Ebay.com


Creación de direcciones para el campo A (destinatario):
Para generar direcciones, emplea los siguientes textos:
   • address; email; emailserv; e-user; ex-smtp; listening; MailIn_Box;
      mailingbox; mailserver; priv-mail; RAR.regsite; smntp; ThisAccount;
      x_mail-list; XFreeMail; XPost; x-Recipient; Z-Account; zfreemailer;
      Z-User

Puede combinar la primera línea con la siguiente:
   • %varios dígitos aleatorios%

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • security.nl; google.com; yahoo.com; heise.de; hotmail.com;
      microsoft.com; t-online.de; arcor.de; fbi.gov; cia.gov; blueWin.ch;
      msdn.microsoft.com; aol.com; ragnarokonline.com; symantec.com;
      icq.com; ibm.com; yahoo.de; hotmail.de; gmx.de; gmx.at; gmx.net;
      gmx.ch


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • ntp-; ntp.; ntp@; test@; @www; @from.; support; smtp-; @smtp.;
      gold-certs; ftp.; .dial.; .ppp.; anyone; subscribe; announce;
      @gmetref; sql.; someone; nothing; you@; user@; reciver@; somebody;
      secure; whatever; whoever; anywhere; yourname; mustermann;
      .kundenserver.; mailer-daemon; variabel; norepl; -dav; law; .sul.t-;
      .qmail; t-ipconnect; t-dialin; ipt.aol; time; freeav; @ca.; abuse;
      winrar; domain.; host.; viren; bitdefender; spybot; detection; ewido.;
      emsisoft; linux; google; @foo.; winzip; @example.; bellcore.; @arin;
      mozilla; iana; iana-; @iana; @avp; icrosoft.; @sophos; @panda;
      @kaspers; free-av; antivir; virus; verizon.; @ikarus.; @nai.;
      @messagelab; nlpmail01.; clock; sender; youremail; home.com;
      hostmaster; postmaster


Servidor MX:
Puede conectarse a uno de los servidores MX:
   • auth.smtp.kundenserver.de; cat.asw.cz; Command.com;
      eforward5.name-services.com; etrn.nextra.cz; excu-mxib-1.symantec.com;
      gold.internet-media.net; group-4.is-rvk.aves.F-Prot.com;
      gsmtp171.google.com; gsmtp57.google.com; icq-mr1.icq.com;
      in1.smtp.messagingengine.com; inbound.canada.com.criticalpath.net;
      INBOUND.HAURI.COM.NETSOLMAIL.net; lycos-com.mr.outblaze.com;
      mail.arcor.de; mail.cambridge.com; mail.DrWeb.com; mail.freeav.de;
      mail.postman.net; mail.softhome.net; mail1.Sophos.com;
      maila.microsoft.com; mailhost.ip-plus.net; mail-kr.bigfoot.com;
      mg1.w-o-r-l-d.net; mx.arcor.de; mx.freenet.de; mx.nyc.untd.com;
      mx0.gmx.de; mx0.gmx.net; mx1.F-Secure.com; mx1.icq.mail2world.com;
      mx1.mail.yahoo.com; mxbw.bluewin.ch; mx-ha01.web.de; mxiab.bluewin.ch;
      mxzhh.bluewin.ch; norman.norman.no; post.strato.de;
      redir-mail-telehouse1.gandi.net; relay.clara.net; relay.heise.de;
      relay2.ucia.gov; scanlab01.mymailwall.at; sitemail2.everyone.net;
      smtp.1und1.de; smtp.ameritech.yahoo.com; smtp.aol.com;
      smtp.compuserve.de; smtp.gmail.com; smtp.googlemail.com;
      smtp.isp.netscape.com; smtp.lycos.de; smtp.mail.ru;
      smtp.mail.yahoo.co.uk; smtp.mail.yahoo.com; smtp.sbcglobal.yahoo.com;
      smtp.web.de; smtp00.fbi.gov; smtp1.google.com; smtpauth.bluewin.ch;
      smtpauth.earthlink.net; sncwsrelay1.nai.com; tombrider.ealaddin.com;
      udcmail01.udc.TrendMicro.com


Resolver DNS (nombres de servidores):
Puede conectarse a los siguientes servidores DNS:
   • 204.127.160.3; 70.85.116.133; 204.60.0.3; 67.18.208.130; 69.93.9.167;
      65.98.70.107; 70.85.209.148; 70.84.250.212; 213.218.170.6;
      193.174.26.133; 203.178.136.36; 128.8.74.2; 194.87.0.9; 147.28.0.39;
      194.231.195.79; 69.20.54.201; 198.87.87.38; 194.206.126.200;
      209.68.63.250; 205.166.226.38; 128.83.139.9; 131.215.254.100;
      128.9.176.32; 216.194.225.70; 128.135.5.5; 219.127.89.34;
      193.158.124.143; 129.115.102.150; 38.9.211.2; 134.94.80.2;
      130.149.2.12; 131.215.254.100; 128.194.254.2; 4.2.2.3;
      195.185.185.195; 209.68.2.46; 129.186.1.200; 198.6.1.2; 131.243.64.3;
      24.93.40.33; 195.182.96.29; 158.43.128.1; 200.74.214.246;
      204.117.214.10; 194.25.2.129; 217.237.150.225; 217.237.151.161;
      151.201.0.39; 209.253.113.2; 213.239.234.108; 62.156.146.242;
      207.69.188.186; 207.217.120.43; 129.187.10.25; 200.52.83.103;
      129.187.16.1; 212.242.88.2

 Finalización de los procesos El siguiente proceso es finalizado:
   • mrt.exe

Termina los procesos que contienen las siguientes series de caracteres:
   • microsoftanti; gcas; gcip; giantanti; inetupd.; nod32kui; nod32.;
      fxsbr; avwin.; guardgui.; aswclnr; stinger; hijack; sober; brfix;
      s_t_i_n; s-t-i-n



Después de terminar el proceso, se muestra la siguiente ventana:


 Informaciones diversas Sincronización del tiempo:
Para sincronizar la hora del sistema, se conecta en el puerto 37 a los servidores NTP:
   • ntps1-1.uni-erlangen.de; time.mit.edu; tick.greyware.com;
      tock.keso.fi; ntp2c.mcc.ac.uk; ntp1.theremailer.net; time.chu.nrc.ca;
      time-a.timefreq.bldrdoc.gov; time.nrc.ca; ntp.massayonet.com.br;
      ntp2b.mcc.ac.uk; ntp2.ien.it; nist1.datum.com; swisstime.ethz.ch;
      clock.psu.edu; time.ien.it; ptbtime2.ptb.de; Rolex.PeachNet.edu;
      ntp.metas.ch; ntp3.fau.de; utcnist.colorado.edu; sundial.columbia.edu;
      vega.cbk.po nan.pl; ntp0.cornell.edu; ntp-sop.inria.fr; rolex.usg.edu;
      time.xmission.com; st.ntp.carnet.hr; ntp-1.ece.cmu.edu; time.nist.gov;
      ntp.lth.se; cuckoo.nevada.edu; ntp-2.ece.cmu.edu; time.kfki.hu;
      ntp.pads.ufrj.br; time-ext.missouri.edu; ntp1.arnes.si;
      timelord.uregina.ca; gandalf.theunixman.com


Modificación del fichero:
Para aumentar el número máximo de conexiones, modifica el fichero tcpip.sys. Esto puede dañar el fichero e interrumpir la conectividad en la red.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Oliver Auerbach el martes 22 de noviembre de 2005
Descripción actualizada por Iulia Diaconescu el lunes 12 de diciembre de 2005

Volver . . . .