|
SOBER.AA gusano de
correo en inglés y alemán termina procesos deshabilita firewall y seguridad de
Windows, etc.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sober.AA@mm
Sober.AA es
un gusano de correo, residente en memoria reportado el 1o de Mayo del
2007, con mensajes en idiomas inglés y alemán, bajo la forma Multi SPAM,
con remitentes, contenidos y archivos anexados aleatorios.
Emplea varios servidores SMTP como puentes intermediarios de
envío, incluso direcciones IP.
Termina procesos, deshabilita el Firewall de
Windows, Windows Update y desestabiliza la seguridad del sistema.
Infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual Basic con una extensión
de 84KB y comprimido
con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
El gusano extrae las direcciones contenidas en los archivos con las siguientes extensiones:
- abc
- abd
- abx
- adb
- ade
- adp
- adr
- asp
- bak
- bas
- cfg
- cgi
- cls
- cms
- csv
- ctl
- dbx
- dhtm
- doc
- dsp
- dsw
- eml
- fdb
- frm
- hlp
- imb
- imh
- imh
- imm
- inbox
- ini
- jsp
- ldb
- ldif
- log
- mbx
- mda
- mdb
- mde
- mdw
- mdx
- mht
- mmf
- msg
- nab
- nch
- nfo
- nsf
- nws
- ods
- oft
- php
- phtm
- pl
- pmr
- pp
- ppt
- pst
- rtf
- shtml
- slk
- sln
- stm
- tbb
- txt
- uin
- vap
- vbs
- vcf
- wab
- wsh
- xhtml
- xls
- xml
ignorando aquellas que tengan las cadenas:
- america.hm
- arcor.de
- asia
- australiamail
- Avast
- bluewin.ch
- cia.gov
- e-mail.dk
- F-Secure
- gmail
- google
- heise.de
- icqmail
- lycos
- newyork
- sophos
- swissinfo.org
- trendMicro
- webmails
- zonnet.nl
y para enviar los mensajes MultiSPAM usa uno de los siguientes
servidores de correo:
- mail.softhome.net
- smtp.sbcglobal.yahoo.com
- smtpauth.bluewin.ch
- mail.gmx.net
- smtpauth.earthlink.net
- smtp.ameritech.yahoo.com
- smtp.mail.ru
- smtp.mail.yahoo.co.uk
- smtp.compuserve.de
- post.strato.de
- smtp.gmail.com
- smtp.aol.com
- smtp.web.de
- mail.arcor.de
- smtp.1und1.de
- smtp.lycos.de
- smtp.googlemail.com
- mx.freenet.de
- smtp.mail.yahoo.com
- auth.smtp.kundenserver.de
- smtp.isp.netscape.com
- relay.clara.net
intenta además usar uno de los servidores de las siguientes direcciones IP:
- 128.135.37.8
- 128.227.116.1
- 128.227.128.24
- 128.8.74.2
- 128.83.139.9
- 128.9.128.127
- 129.115.102.150
- 129.186.1.200
- 129.206.100.126
- 129.206.210.127
- 129.27.2.3
- 130.149.4.20
- 130.56.4.1
- 130.60.128.5
- 131.215.254.100
- 132.176.114.23
- 132.236.56.250
- 142.77.1.1
- 145.253.2.171
- 150.203.22.28
- 151.201.0.39
- 158.43.128.1
- 164.128.36.54
- 165.87.194.244
- 18.72.0.3
- 192.150.249.10
- 193.158.124.143
- 194.150.168.168
- 194.206.126.200
- 194.25.2.129
- 194.87.0.9
- 195.85.254.254
- 198.6.1.2
- 199.249.19.1
- 201.130.79.3
- 203.162.0.11
- 203.178.136.36
- 204.117.214.10
- 204.127.160.3
- 204.152.184.76
- 204.225.44.10
- 204.60.0.3
- 205.171.3.65
- 207.217.120.43
- 207.69.188.186
- 209.143.112.34
- 209.235.107.16
- 209.244.0.4
- 209.253.113.2
- 211.167.97.67
- 212.7.128.165
- 213.191.74.19
- 213.218.170.6
- 217.237.150.225
- 217.237.151.161
- 38.9.211.2
- 4.2.2.3
- 62.156.146.242
- 64.136.164.46
- 65.108.51.171
- 66.59.232.202
- 66.98.172.102
- 67.18.208.130
- 69.13.27.250
- 69.51.0.178
- 69.57.148.125
el gusano evita enviarse a las direcciones que contengan las siguentes
cadenas:
- -dav
- .dial.
- .kundenserver.
- .ppp.
- .qmail@
- .sul.t-
- @ ntp.
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ika
- @kaspers
- @messagelab
- @nai.
- @panda
- @smtp.
- @sophos
- @www
- abuse
- announce
- antivir
- anyon
- anywhere
- bellcore.
- bitdefender
- clock
- detection
- domain.
- e
- emsisoft
- ewido.
- free-av
- freeav
- ftp.
- gold-certs
- google
- host.
- iana-
- iana@
- icrosoft.
- ipt.aol
- law2
- linux
- mailer-daemon
- mozilla
- mustermann@
- nlpmail01.
- noreply
- nothing
- ntp- ntp
- p-
- reciver@
- rus.
- secure
- smt
- somebody
- someone
- spybot
- sql.
- subscribe
- support
- t-dialin
- t-ipconnect
- test@
- time
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
los mensajes tiene las siguentes características:
Remitente: las direcciones extraídas de los sistemas infectados o la
combinación de [Cadena 1]@[Cadena 1]
[Cadena 1] es una de las siguientes:
- Webmaster
- Admin
- Postmaster
- Hostmaster
[Cadena 2] una de las siguientes:
- hotmail.com
- gmx.de
- web.de
- microsoft.com
- aol.de
Asunto, uno de los siguientes:
- Ihr Passwort wurde geaendert!
- Fehlerhafte Mailzustellung
- Ihr Account wurde eingerichtet!
- Your Updated Password!
- Error in your eMail
Contenido, uno de los siguientes:
- Ihr Passwort wurde erfolgreich geaendert.Ihre neuen Account-Daten und
Passwort befinden sich gesichert im Anhang!
- Diese Nachricht wurde Automatisch generiert. - Ihre EMail konnte nicht
empfangen oder gesendet werden.
- Danke das Sie sich fuer uns entschieden haben.Um ihren neuen Account zu
aktivieren, folgen sie der kurzen Anleitung im Anhang. Es sind nur 2 Schritte
noetig!
- You notified us that you have forgotten your password.We have changed your
password to a random sequence of letters and digits! For more detailed
information, see the attached password file ...
- Your eMail has occurred an unknown error on our Server.Please read your mail
and check the text.The full email is attached!
Anexado, uno de los siguientes:
- Passw_Data[dígitos_aleatorios].zip
- PDaten[dígitos_aleatorios].zip
- Mail_Data[dígitos_aleatorios].zip
- Anleitung[dígitos_aleatorios].zip
en todos los casos el archivo .ZIP contiene
los archivos que libera en memoria.
Al activarse el gusano se copia a la siguiente
ruta con los nombres:
- %Windir%\PoolData\csrss.exe
- %Windir%\PoolData\services.exe
- %Windir%\PoolData\smss.exe
- %Windir%\PoolData\spxttx1.xnt
- %Windir%\PoolData\spxttx2.xnt
- %Windir%\PoolData\spxttx3.xnt
- %Windir%\PoolData\runnor.ssy
- %Windir%\PoolData\xpsys.ddr
- %Windir%\PoolData\WinD.osa
Para ejecutarse la próxima vez que se re-inicie el sistema
crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinData" = "%Windir%\PoolData\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinData" = "%Windir%\PoolData\services.exe"
Para desactivar el Windows Update crea
la llave:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\Auto Update]
"AUOptions" = "1"
Para desactivar el Firewall de Windows
crea la llave:
[HKEY_LOCAL_MACHINE\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "4"
Para desactivar el Windows Security Center crea
las llaves:
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wscsvc]
"Start" = "4"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc]
"Start" = "4"
Al siguiente inicio del equipo, el gusano
muestra esta falsa caja de diálogo:
y termina cualquier proceso que tenga una de las siguientes cadenas:
- asw*.tmp
- aswclnr
- avwin
- brfix
- fxsbr
- gcas
- gcip
- giantanti
- guardgui
- hijack
- inetupd
- killb
- microsoftanti
- mrt.exe
- nod32
- nod32kui
- sober
- stinger
- stng
luego intenta parchar en las siguientes rutas
el driver TCPIP.SYS, en equipos con Windows XP
SP2:
- %System%\drivers\TCPIP.SYS
- %System%\dllcache\TCPIP.SYS
- %Windir%\ServicePackFiles\i386\TCPIP.SYS
y muestra la falsa caja de diálogo:
para comprobar la conexión a Internet se
conecta a uno de los siguientes sitios web:
- aol.com
- arcor.de
- bluewin.ch
- cia.gov
- fbi.gov
- google.com
- heise.de
- hotmail.com
- ibm.com
- icq.com
- microsoft.com
- msdn.microsoft.com
- ragnarokonline.com
- security.nl
- symantec.com
- t-online.de
- yahoo.com
verifica la conexión a redes y fecha de los
sistemas infectados conectándose a uno de los servidores NTP a través
del puerto TCP 37:
- clock.psu.edu
- cuckoo.nevada.edu
- freq.bldrdoc.gov
- gandalf.theunixman.com
- mizbeaver.udel.edu
- nets.org.sg
- nist1.datum.com
- nist1.symmetricom.com
- ntp-sop.inria.fr
- ntp.alaska.edu
- ntp.lth.se
- ntp.metas.ch
- ntp.nblug.org
- ntp.pads.ufrj.br
- ntp.scx.ru
- ntp.ujf.cas.cz
- ntp.vld.ru
- ntp0.cornell.edu
- ntp1.arnes.si
- ntp2.ien.it
- ntp2a.mcc.ac.uk
- ntp2b.mcc.ac.uk
- ntp2c.mcc.ac.uk
- ntp3.fau.de
- ntp3.imvp.ru
- ntps1-1.uni-erlangen.de
- ptbtime2.ptb.de
- stdtime.gov.hk
- sundial.columbia.edu
- t1.timegps.net
- tick.greyware.com
- time-a.time
- time-ext.missouri.edu
- time.chu.nrc.ca
- time.ien.it
- time.mit.edu
- time.nrc.ca
- time.xmission.com
- utcnist.colorado.edu
- vega.cbk.poznan.pl
Los servidores NTP
(Network Time Protocol) son aquellos que periódicamente verifican la hora de
determinados servidores, re-ajustando la hora de los sistemas desde los cuales
se conectan.
el gusano intenta descargar una copia de sí
mismo de uno de los siguientes portales ubicados en Alemania:
- people.freenet.de
- scifi.pages.at
- home.pages.at
- free.pages.at
- home.arcor.de
La información capturada es almacenada en los
siguientes archivos:
- spxttx1.xnt
- spxttx2.xnt
- spxttx3.xnt
PER ANTIVIRUS® versión
10.1 con registro de virus al 1o de Mayo del 2007 detecta y elimina eficientemente este gusano.
