W32/Sober.O@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Nueva variante de gusano w32/Sober que intenta engañar al usuario, haciéndole creer que otra persona está recibiendo su correo electrónico.

Nombre de virus: W32/Sober.O@MM
Alias conocidos: W32/Sober-M, W32.Sober.N@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución manual de fichero
Detección: desde DATS 4472
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

Esta nueva variante de W32/Sober se recibe en un mensaje de correo electrónico en inglés o alemán, sin embargo, dada su alta propagación las últimas horas, hemos creído conveniente informar al respecto a nuestros asociados.

El formato del mensaje en inglés, es el siguiente:

Asunto: I've_got your EMail on my_account!

Mensaje:
Hello,
First, Very Sorry for my bad English.

Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.

I have copied all the mail text in the windows text-editor for you &
zipped then.
Make sure, that this mails don't come in my mail-box again.

bye

Archivo adjunto: your_text.zip (incluyendo el fichero mail.document.Datex-packed.exe)

El texto del mensaje, pretende hacer creer al receptor del email que otro usuario ha recibido sus mensajes, probablemente debido a un error, por lo que se los envía dentro de un fichero de texto empaquetado en un archivo ZIP.

El mensaje puede ser enviado también el alemán, en cuyo caso presenta el siguiente formato:

Asunto: FwD: Ich bin's nochmal

Mensaje:
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.

Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode
blamieren!

Ich melde mich.
Bis bald ;)

Archivo Adjunto:
Private-Texte.zip (containing the file mail.document.Datex-packed.exe )

Abriendo manualmente el archivo y ejecutando el fichero que contiene, se infectará el sistema local.

Síntomas

En registro de sistema
Una vez se ejecuta, el virus se copia a C:\WINDOWS\Config\system\services.exe y crea dos claves de registro para cargarse al reiniciar el sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "_SystemCheck" = C:\WINDOWS\Config\system\services.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run " SystemCheck" = C:\WINDOWS\Config\system\services.exe

Síntomas Visuales
La presencia del fichero de texto mail.document.Datex-packed.txt en el directorio temporal (%temp%) del sistema.

Síntomas de Fichero
También genera otros ficheros:

c:\WINDOWS\Config\system\maddys.xyz (contiene una lista de direcciones de email recopiladas)

c:\WINDOWS\Config\system\zipped.wrm (archivo ZIP, que contiene el gusano codificado en formato MIME)

c:\WINDOWS\system32\adcmmmmq.hjg

c:\WINDOWS\system32\langeinf.lin

c:\WINDOWS\system32\nonrunso.ber

c:\WINDOWS\system32\xcvfpokd.tqa

Síntomas de Red
El gusano intenta contactar con diferentes servidores horarios (TCP37):

ntp3.fau.de

timelord.ureqina.ca

time-server.ndo.com

ntp-sop.inria.fr

ntp.pads.ufrj.br

time-a.timefreq.bldrdoc.gov

Ocasionalmente, durante la ejecución del gusano en sistemas Windows 2000 y Windows XP puede visualizarse el siguiente mensaje de error:

Detección y eliminación

El gusano se controla desde los DAT 4472 , para su eliminación se recomienda ejecutar nuestra utilidad ELISOBEA.