Worm/Sober.F - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Sober.F
Descubierto:	04/04/2004
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	No
Tamaño:	42.496 Bytes
Versión del VDF:	6.24.00.84

General Método de propagación:
   • Correo electrónico

Alias:
   • Symantec: W32.Sober.F@mm
   • Mcafee: W32/Sober.f@MM
   • Kaspersky: Email-Worm.Win32.Sober.f
   • TrendMicro: WORM_SOBER.F
   • Grisoft: I-Worm/Sober.F
   • VirusBuster: I-Worm.Sober.G
   • Bitdefender: Win32.Sober.F@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%palabras aleatorias%.exe

%palabras aleatorias%:
   • sys
   • host
   • dir
   • expolrer
   • win
   • run
   • log
   • 32
   • disc
   • crypt
   • data
   • diag
   • spool
   • service
   • smss32

Crea los siguientes ficheros:

– Copias codificadas MIME de si mismo:
   • %SYSDIR%\winhex32xx.wrm
   • %SYSDIR%\winsys32xx.zzp

– Ficheros que contienen direcciones de correo recolectadas:
   • %SYSDIR%\syst32win.dll
   • %SYSDIR%\spoofed_recips.ocx

– %TEMPDIR%\%ficheros ejecutados%.txt Starts the file using the default application for (es)

Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • people.freenet.de/angiesweb/**********
   • scifi.pages.at/cyberx/**********
   • people.freenet.de/designs/**********
   • people.freenet.de/firstpageonweb/**********
   • scifi.pages.at/floraflori/**********
   • scifi.pages.at/free-web-side/**********
   • people.freenet.de/hinger/**********
   • scifi.pages.at/lebens-tipps/**********
   • people.freenet.de/michisweb/**********
   • scifi.pages.at/pc_help/**********
   • scifi.pages.at/rezepte/**********
   • people.freenet.de/schmink-tipps/**********
   • people.freenet.de/stefis_web/**********
   • people.freenet.de/zernys-seite/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %palabras aleatorias% = %SYSDIR%\%palabras aleatorias%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   %palabras aleatorias%]
   • %palabras aleatorias% = %SYSDIR%\%palabras aleatorias%.exe

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).

De:
La dirección del remitente es falsa.
Direcciones generadas. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o no esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

Asunto:
Uno de los siguientes:
   • Bad Gateway; Best; Confirmation Required; Connection failed; damn!;
      Details; Faulty mail delivery; Hey; hey you; Hi!; Hi, it's me; Illegal
      signs in Mail-Routing; Info; Information; Invalid mail sentence
      length; Mail delivery failed; Mail Delivery failure; mail delivery
      status; Mail Error; Message Error; Oh my God; Warning!; Well,
      surprise?!; Your document; Your mail account; Your mail-account; Your
      password; Einzelheiten; Fehler; Fehler in E-Mail; Fehlerhafte
      Mailzustellung; Hallo Du!; Hallo!; Hey Du; Hi, Ich bin's; Ich bin es
      .-); Ihr neues Passwort; Ihr Passwort; Illegale Zeichen in
      Mail-Routing; Mailzustellung fehlgeschlagen; Na,; Registrierungs-Best;
      Ung; Verbindung fehlgeschlagen; Verdammt; Warnung!; Datenbank-Fehler

El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • I was surprised, too! :-(
     Who could suspect something like that?
     shock

   • All OK :)
     see, what i've found!

   • hi its me
     i've found a shity virus on my pc. check your pc, too!
     follow the steps in this article.
     bye

   • I 've told you!:-) sometime I grab your passwords!


   • Follow the instructions to read the message.
     Please read the document

   • Your password was changed successfully.
     Protected message is attached.

   • I hope you accept the result!

   • Database Error
     -- Partial message is available!
     -- Error: llegal signs in Mail-Routing
     -- Mail Server: ESMTP VX32.9 Version Betha Alpha

   • *** Auto Mail Delivery System ***

   • ...

   • Ich war auch ein wenig
     Wer konnte so etwas ahnen!? Lese selbst
     Oh-Mann

   • Alles klaro bei dir?
     Schau mal was Ich gefunden habe!
     Meinst Du das wirklich?

   • Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
     Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
     Bye

   • Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
     Details entnehmen Sie bitte dem Attachment


   • Ihre E-Mail konnte nicht gesendet oder empfangen werden.

   • Passwort und Benutzername wurde erfolgreich geandert

   • Benutzer-Daten
     Wegen eines Datenbank- Fehlers
     Wenn Sie Unregelm
     Vielen Dank

   • Internet Provider Abuse:
     Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
     Bitte beachten Sie folgende Liste:
     Liste
     Schwarze-Liste

   • ***
     Mail- Anhang: Keine verd
     Mail Scanner: Kein Virus gefunden
     Anti- Virus: Es wurde kein Virus erkannt

A veces continuando con una de las siguientes:

   • 67.28.114.32_failed_after_I_sent_the_message./
     Remote_host_said:_554_delivery_error:_dd_
     Sorry_your_message_cannot_be_delivered._
     This_account_has_been_disabled_or_discontinued_[
     102]._-_mta134.mail.dcn.com
     ** End of Transmission

   • The original message is a separate attachment.
     --- Mail To: UserHelp
     Read the attachment for details.
     Bad Gateway: The message has been attached.


   • Mail- Attachment: No suspicious Virus signatures
     Mail Scanner: No Virus found
     Anti-Virus: No Virus!

   • * End Transmission

A veces continuando con una de las siguientes:

   • ++++ Service: http://www.%dominio de los destinatarios%
     ++++ Mail To: User-info@%dominio del remitente%

   • +++ A service of %dominio de los destinatarios%
     +++ Mail: home@%dominio del remitente%

   • ++++ Im www erreichbar unter: http://www.%dominio de los destinatarios%
     ++++ E-Mail: KundenInfo@%dominio del remitente%

   • --- Web: http://www.%dominio de los destinatarios%
     --- Mail To: User-Hilfe@%dominio del remitente%

   • +++ Ein Service von
     +++ http://www .%dominio de los destinatarios%
     +++ E-Mail: Kundenservice@%dominio del remitente%

Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

– Empieza por uno de los siguientes:
   • Administrator
   • AMD-System.txt
   • anitv_text
   • AntiVirus-Text
   • attach-message
   • AutoMailer
   • Benutzer-Daten
   • block-lists
   • check_this
   • corrected_text-file
   • database_partial
   • database
   • Datenbank_Auszug
   • dokument
   • Error_Info
   • error
   • error-message
   • Fehler-Info
   • help
   • instructions
   • kurztext
   • message
   • Money-Help
   • partial
   • pass-message
   • pmessage-text
   • RobotMailer
   • Schwarze-Liste
   • textdocument
   • Text-Inhalt
   • User-info
   • webmaster
   • your_article
   • your_passwords

A veces seguido por una de las siguientes:
   • _attach

    La extensión del fichero es una de las siguientes:
   • .pif
   • .zip

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bas; .cfg; .cgi;
      .cls; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml; .fdb; .frm; .hlp;
      .ini; .jsp; .ldb; .ldif; .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx;
      .mht; .mmf; .msg; .nab; .nch; .nfo; .nsf; .ods; .oft; .php; .pl; .pp;
      .ppt; .pst; .rtf; .shtml; .sln; .tbb; .txt; .uin; .vap; .vbs; .wab;
      .wsh; .xls; .xml

Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • Administrator; Webmaster; Home; Register; Service; Info; admin;
      Error_Info; RobotMailer; AutoMailer; User-info; account; webmaster;
      Webmaster; Fehler-Info; Administrator; RobotMailer; AutoMailer;
      Register; Service; Info; Passwort; Kundenservice; Liste;
      Schwarze-Liste; Information

Combina este resultado con los dominios del siguiente listado o de las direcciones encontradas en los ficheros del sistema.

El dominio es uno de los siguientes:
   • yahoo.com
   • yahoo.de
   • gmx.de
   • gmx.net
   • web.de
   • freenet.de
   • lycos.de

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • mailer-daemon; office; redaktion; support; variabel; password; time;
      postmas; service; freeav; @ca.; abuse; winrar; domain.; host.; viren;
      ewido.; emsisoft; linux; google; @foo.; winzip; @arin; mozilla; @iana;
      @avp; @msn; microsoft.; @sophos; @panda; symant; ntp-; ntp@; @ntp.;
      @kaspers; free-av; antivir; virus; verizon.; @ikarus.; @nai.;
      @messagelab; clock; yahoo.com; yahoo.de; gmx.de; gmx.net; web.de;
      freenet.de; lycos.de

Informaciones diversas Sincronización del tiempo:
Para sincronizar la hora del sistema, se conecta en el puerto 37 a los servidores NTP:
   • ntps.cs.tu-berlin.de
   • ntp.fau.de
   • Rolex.Peachnet.edu
   • ns1.usg.edu
   • ptbtime.ptb.de
   • time.nrc.ca
   • ntp.metas.ch
   • timelord.regina.de
   • ntp.ece.cmu.edu

Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • @All AV: Die NTP, Update,... Funktionen, waren bereits ab Version.A vorhanden ! Im diesen Sinne:Odin alias Anon

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 25 Apr 2006 16:27 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 25 Apr 2006 20:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver