SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Gusano que propaga por correo electrónico. El asunto del mensaje se suele recibir en alemán o inglés.
Nombre de virus: W32/Sober.c@MM
Alias conocidos: WORM_SOBER.C
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por
ejecución de fichero adjunto (.bat, .cmd, .exe,.com,.pif, .scr)
Detección: desde
DATS 4310
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)
W32/Sober.c@MM, es un gusano de correo electrónico (mass-mail) escrito en Visual Basic. Llega como fichero adjunto con uno de los siguientes nombres:
· www.iq4you-german-test.com
· www.freewantiv.com
· www.free4manga.com
· www.free4share4you.com
· www.tagespolitik-umfragen.com
· www.onlinegamerspro-worm.com
· www.freegames4you-gzone.com
· www.boards4all-terror432.com
· www.anime4allfree.com
· www.animepage43252.com
· yourmail
· alledigis
· aktenz
(Los adjuntos pueden acabar con cualquiera de las siguientes extensiones, y pueden estar precedidas de .txt o .doc, y/o un número aleatorio)
· com
· bat
· cmd
· pif
· scr
· exe
· com
El asunto del mensaje puede ser variado, en inglés o alemán, de entre los siguientes:
· Betr: Klassentreffen
· Testen Sie ihren IQ
· Bankverbindungs- Daten
· Neuer Dialer Patch!
· Ermittlungsverfahren wurde eingeleitet
· Ihre IP wurde geloggt
· Sie sind ein Raubkopierer
· Sie tauschen illegal Dateien aus
· Ich hasse dich
· Ich zeige sie an!
· Sie Drohen mir
· you are an idiot
· why me?
· I hate you
· Preliminary investigation were started
· Your IP was logged
· You use illegal File Sharing ...
El gusano contiene su propio motor SMTP para propagarse, y reúne las direcciones de
e-mail a donde enviarse desde ficheros de la máquina local, guardándolas en el siguiente
archivo
%SysDir%\SAVESYSS.DLL
(donde %SysDir% es el directorio Windows System)
El gusano se instala dentro de %SysDir% del equipo afectado:
· %SysDir%\SYSHOSTX.EXE
Adicionalmente, genera otras dos copias del gusano con nombre de fichero variable, por ejemplo:
· %SysDir%\ONDMONSTR.EXE
· %SysDir%\DATMSCRYPT.EXE
Estos dos últimos ficheros son los responsables de monitorizar y mantener al gusano residente en memoria. Si se finaliza de la memoria uno de los procesos del gusano, otra copia reiniciará el proceso terminado rápidamente.
Igualmente, añade claves en el registro para provocar su carga al inicio del sistema, por ejemplo:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\ONDMONSTR.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\ONDMONSTR.EXE
donde (string) varia entre infecciones.
Adicionalmente, genera los siguientes ficheros:
· %SysDir%\HUMGLY.LKUR
· %SysDir%\YFJQ.YQWM
Detección y eliminación
El gusano se controla desde los DAT
4310 , para su eliminación se recomienda ejecutar
nuestra utilidad ELISOBEA .
SATINFO, VIRUSCAN SPAIN SERVICE 22 de Diciembre de 2003
