¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Sober.P
Descubierto:02/05/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:No
Tamao:53.554 Bytes
Versin del VDF:6.30.00.151
Eurstico:Worm/Sober.gen

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



Crea los siguientes ficheros:

– Copias codificadas MIME de si mismo:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Ficheros que contienen direcciones de correo recolectadas:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Un fichero temporal, que puede ser eliminado despus:
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Intenta descargar algunos ficheros:

La sincronizacin de tiempo mediante el protocolo NTP est incluida en el cdigo del virus y se autoactiva en el siguiente momento:
Fecha: 10/05/2005


Las direcciones son las siguientes:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Adems, este fichero es ejecutado despus de haber sido completamente descargado. Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).


De:
La direccin del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.


Asunto:
El tema del correo se ha creado con lo siguiente:

    A veces empieza con:
   • FwD:

    Y luego una de las siguientes:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%nombre del dominio y dominio de nivel superior (TLD) desde la direccin del remitente%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%el dominio del remitente desde la direccin de correo%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%nombre del dominio y dominio de nivel superior (TLD) desde la direccin del remitente%
     *-* MailTo: PasswordHelp@%nombre del dominio y dominio de nivel superior (TLD) desde la direccin del remitente%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


A veces seguido por:

   • Visit: http://www.%nombre del dominio y dominio de nivel superior (TLD) desde la direccin del remitente%


A veces continuando con una de las siguientes:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%el dominio del destinatario desde la direccin de correo%" AntiVirus Service
     **** WebSite: http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   • *** AntiVirus: No Virus found
     *** "%el dominio del destinatario desde la direccin de correo%" Anti-Virus
     *** http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%el dominio del destinatario desde la direccin de correo%" Anti-Virus
     *** http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   • *** Attachment-Scanner: Status OK
     *** "%el dominio del destinatario desde la direccin de correo%" Anti-Virus
     *** http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   • **** AntiVirus: Kein Virus gefunden
     **** "%el dominio del destinatario desde la direccin de correo%" AntiVirus Service
     **** WebSite: http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%el dominio del destinatario desde la direccin de correo%" AntiVirus Service
     **** WebSite: http://www.%Nombre del dominio y dominio de nivel superior (TLD) desde la direccin del destinatario%


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %el dominio del remitente desde la direccin de correo%_PassWort-Info.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Emplea el mismo listado de dominios mencionado anteriormente.

El dominio es uno de los siguientes:
   • ok2006.de
   • fifa.de
Para generar direcciones, emplea los siguientes textos:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Informaciones diversas Sincronizacin del tiempo:
Para sincronizar la hora del sistema, se conecta en el puerto 37 a los servidores NTP:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Andrei Ivanes el viernes 7 de abril de 2006
Descripción actualizada por Andrei Ivanes el miércoles 12 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.