Nombre de virus: W32/Sober.P@MM
Alias conocidos: W32/Sober-N, WORM_SOBER.S, W32.Sober.O@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución manual de fichero PIF
Detección: desde DATS 4482 (proactivamente desde 4443)
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

• account_info.zip
• autoemail-text.zip
• LOL.zip
• Fifa_Info-Text.zip
• mail_info.zip
• okTicket-info.zip
• our_secret.zip
• _PassWort-Info.zip

Dentro del archivo ZIP se encuentra un fichero winzipped-text_data.txt .pif

Al igual que muchas otras variantes de Sober, esta utiliza diversos mensajes de email diferentes de manera aleatoria, en inglés o alemán, en función de la versión de Windows. Uno de los mensajes en alemán le indica al destinatario que ha ganado entradas para la copa del mundo de fútbol:

Asunto : WM-Ticket-Auslosung
Mensaje:
Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

Ihr "ok2006" Team
St. Rainer Gellhaus

--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Un ejemplo de mensaje aleatorio generado en inglés:

Asunto: Your Password
Mensaje:
Account and Password Information are attached!

*** AntiVirus: No Virus found
*** "{recipient's domain} " Anti-Virus
*** http://www. {recipient's domain}

Síntomas Visuales
Cuando se desempaqueta el archivo ZIP y se ejecuta manualmente el fichero PIF contenido, el virus puede visualizar un falso mensaje de error:

Síntomas en el Registro
El gusano se copia en nuevas carpetas creadas en el directorio WINDOWS, y crea claves run para cargarse al inicio del sistema.

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Run "_WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Run " WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe

• c:\WINDOWS\Connection Wizard\Status\fastso.ber
• c:\WINDOWS\system32\adcmmmmq.hjg
• c:\WINDOWS\system32\langeinf.lin
• c:\WINDOWS\system32\nonrunso.ber
• c:\WINDOWS\system32\seppelmx.smx
• c:\WINDOWS\system32\xcvfpokd.tqa

Los siguientes ficheros son versiones del gusano codificadas en MIME, en un archivo ZIP:

• c:\WINDOWS\Connection Wizard\Status\packed1.sbr
• c:\WINDOWS\Connection Wizard\Status\packed2.sbr
• c:\WINDOWS\Connection Wizard\Status\packed3.sbr

Los siguientes ficheros contienen datos relativos a email (tales como nombres de dominios)

• c:\WINDOWS\Connection Wizard\Status\sacri1.ggg
• c:\WINDOWS\Connection Wizard\Status\sacri2.ggg
• c:\WINDOWS\Connection Wizard\Status\sacri3.ggg
• c:\WINDOWS\Connection Wizard\Status\voner1.von
• c:\WINDOWS\Connection Wizard\Status\voner2.von
• c:\WINDOWS\Connection Wizard\Status\voner3.von

Los siguientes ficheros son copias del gusano:

• c:\WINDOWS\Connection Wizard\Status\csrss.exe
• c:\WINDOWS\Connection Wizard\Status\services.exe
• c:\WINDOWS\Connection Wizard\Status\smss.exe

 

Síntomas de Red
El gusano intenta contactar con diferentes servidores horarios (TCP 37):

• cuckoo.neveda.edu
• ntp.lth.se
• ntp.massayonet.com.br
• ntp.pads.ufrj.br
• ntp1.arnes.si
• ntp-1.ece.cmu.edu
• ntp-2.ece.cmu.edu
• rolex.peachnet.edu
• rolex.usg.edu
• sundial.columbia.edu
• tim.kfki.hu
• time.nist.gov
• time.windows.com
• time.xmission.com
• time-a.timefreq.bldrdoc.gov
• time-ext.missouri.edu
• time-ext.missouri.edu
• timelord.ureqina.ca
• time-server.ndo.com
• utcnist.colorado.edu
  

Detección y eliminación

El gusano se controla desde los DAT 4482 (proactivamente desde los DAT 4443), para su eliminación se recomienda ejecutar nuestra utilidad ELISOBEA.

SATINFO, VIRUSCAN SPAIN SERVICE 05 de Mayo de 2005

Anterior