Nombre:Worm/Sober.AB
Descubierto:29/04/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Alto
Potencial de propagación:Alto
Potencial dañino:Medio
Fichero estático:
Tamaño:89.274 Bytes
Suma de control MD5:b8c0c8f33f47c39794dff68489a706ce
Versión del VDF:6.38.01.89
Versión del IVDF:6.38.01.93 - viernes 4 de mayo de 2007
Versión del motor antivirus:6.30.00.07

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Identificado anteriormente como:
   •  Worm/Sober.GEN


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Ficheros  Crea la siguiente carpeta:
   • %WINDIR%\PoolData\



Suelta copias suyas en el sistema, escogiendo un nombre de fichero de unos listados:
– Para: %WINDIR%\PoolData\ Empleando uno de los siguientes nombres:
   • smss.exe
   • csrss.exe
   • services.exe




Sobrescribe un fichero.
%SYSDIR%\drivers\tcpip.sys



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %WINDIR%\PoolData\xpsys.ddr




Intenta descargar algunos ficheros:

La sincronización de tiempo mediante el protocolo NTP está incluida en el código del virus y se autoactiva en el siguiente momento:
Fecha: 05/05/2007


– Las direcciones son las siguientes:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– WinData
   • c:\windows\\PoolData\\services.exe

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).


Condiciones de activación:
Empieza la rutina de envío de correos según la hora obtenida mediante el protocolo NTP.


De:
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
El tema del correo se ha creado con lo siguiente:

    A veces empieza con:
   • Ihr Passwort wurde geandert!

    A veces seguido por una de las siguientes:
   • Fehlerhafte Mailzustellung

    A veces seguida por una de las siguientes:
   • Ihr Account wurde eingerichtet!

    A veces seguida por una de las siguientes:
   • Your Updated Password!


El cuerpo del mensaje:
–  El cuerpo del mensaje contiene caracteres aleatorios.
El cuerpo del mensaje es uno de los siguientes:
A veces empieza con:

   • Danke das Sie sich fuer uns entschieden haben.
     


A veces seguido por:

   • Diese Nachricht wurde automatisch generiert


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Dennis Elser el viernes 4 de mayo de 2007
Descripción actualizada por Dennis Elser el lunes 7 de mayo de 2007

Volver . . . .