|
W32/Sober@mm, I.worm.sober@mm
Sober es un gusano reportado el 27 de Octubre del 2003, de alta propagación masiva a través de mensajes de correo con diversos Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria, que en uno de sus formatos simula contener una advertencia enviada por dos empresas desarrolladoras de antivirus.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 62 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Posee su propio SMTP (Simple Mail Transfer Protocol) que utiliza la técnica Email Spoofing para disfrazar la cabecera de los Remitentes y los mensajes tienen las siguientes características:
Asunto, uno de los siguientes:
Contenido, uno de los siguientes
Contenido 1
I permanently get Spam-Mails from you and
inside
is a virus!!
You should remove these thing.
Contenido
2
Read the document, before another or my
mailbox
explode!
Yours sincerely: [nombre falso]
Contenido
3
Sorry, but the ODIN Worm is probably on your
computer!
You should check this with the patch application.
See you soon
Contenido
3
Kaspersky Lab Int. and Norton Anti Virus have
found a new typ of worm.
He calls itself "ODIN" and he is very variable!
Adjunto, cualquiera de los siguientes:
Al ser ejecutado el archivo anexado se muestra la siguiente caja de diálogo:
El mismo que sin ser aceptado procede a la rutina de auto-copiado a la carpeta %System% con los siguientes nombres:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003 y para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"syspath" = "%System%\[nombre_aleatorio.exe]"
[HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main]
"syspath" = "%System%\[nombre_aleatorio.exe]"
[nombre_aleatorio.exe] es uno de los tres archivos: drv.exe, similare.exe o systemchk.exe.
Al siguiente re-inicio el gusano ejecuta su rutina de auto-envío masivo a los buzones de la Libreta de Direcciones de MS Outlook empleando la técnica Email spoofing que disfraza las cabeceras de los Remitentes:
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.3 con registro de virus al 27 de Octubre del 2003 detecta y elimina eficientemente este gusano.
