¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Sober.AB
Descubierto:29/04/2007
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Alto
Potencial de propagacin:Alto
Potencial daino:Medio
Fichero esttico:S
Tamao:89.274 Bytes
Suma de control MD5:b8c0c8f33f47c39794dff68489a706ce
Versin del VDF:6.38.01.89
Versin del IVDF:6.38.01.93 - viernes 4 de mayo de 2007
Versin del motor antivirus:6.30.00.07

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Identificado anteriormente como:
     Worm/Sober.GEN


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Ficheros  Crea la siguiente carpeta:
   • %WINDIR%\PoolData\



Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
Para: %WINDIR%\PoolData\ Empleando uno de los siguientes nombres:
   • smss.exe
   • csrss.exe
   • services.exe




Sobrescribe un fichero.
%SYSDIR%\drivers\tcpip.sys



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • %WINDIR%\PoolData\xpsys.ddr




Intenta descargar algunos ficheros:

La sincronizacin de tiempo mediante el protocolo NTP est incluida en el cdigo del virus y se autoactiva en el siguiente momento:
Fecha: 05/05/2007


Las direcciones son las siguientes:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

WinData
   • c:\windows\\PoolData\\services.exe

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).


Condiciones de activacin:
Empieza la rutina de envo de correos segn la hora obtenida mediante el protocolo NTP.


De:
Direcciones generadas. Por favor no piense que ha sido la intencin del remitente enviarle este mensaje de correo. Es posible que dicho remitente no est al tanto de la infeccin o no est infectado. Adems, es posible que usted reciba mensajes devueltos, indicndole que est infectado. Esto tambin podra ser falso.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
El tema del correo se ha creado con lo siguiente:

    A veces empieza con:
   • Ihr Passwort wurde geandert!

    A veces seguido por una de las siguientes:
   • Fehlerhafte Mailzustellung

    A veces seguida por una de las siguientes:
   • Ihr Account wurde eingerichtet!

    A veces seguida por una de las siguientes:
   • Your Updated Password!


El cuerpo del mensaje:
–  El cuerpo del mensaje contiene caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:
A veces empieza con:

   • Danke das Sie sich fuer uns entschieden haben.
     


A veces seguido por:

   • Diese Nachricht wurde automatisch generiert


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Dennis Elser el viernes 4 de mayo de 2007
Descripción actualizada por Dennis Elser el lunes 7 de mayo de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.