|
SOBER.AI gusano de Correo mensajes en inglés y alemán deshabilita el MS Malicious Software Removal Tool.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sober.AI@mm, I.worm.sober.AI@mm
Sober.AI es la última versión del gusano Sober, cuyas variantes fueron reportadas desde el 21 al 23 de Noviembre del 2005, con su rutinas de muy alta propagación masiva de mensajes de
correo en idiomas inglés y alemán, en forma Multi SPAM.
Emplea varios servidores SMTP como puentes intermediarios de envío. Termina el proceso del Microsoft Malicious Software Removal Tool.
Infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual Basic con una extensión variable y comprimido
con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a las direcciones contenidas en los archivos con las siguientes extensiones:
- abc
- abd
- abx
- adb
- ade
- adp
- adr
- asp
- bak
- bas
- cfg
- cgi
- cls
- cms
- csv
- ctl
- dbx
- dhtm
- doc
- dsp
- dsw
- eml
- fdb
- frm
- hlp
- imb
- imh
- imm
- inbox
- ini
- jsp
- ldb
- ldif
- log
- mbx
- mda
- mdb
- mde
- mdw
- mdx
- mht
- mmf
- msg
- nab
- nch
- nfo
- nsf
- nws
- ods
- oft
- php
- phtm
- pl
- pmr
- pp
- ppt
- pst
- rtf
- shtml
- slk
- sln
- stm
- tbb
- txt
- uin
- vap
- vbs
- vcf
- wab
- wsh
- xhtml
- xls
- xml
los mensajes tiene las siguentes características:
Remitente, una combinación aleatoria de nombres:
- Admin
- Hostmaster
- Info
- Postman
- Postmaster
- Service
- Webmaster
- Department
- Mail
- Office
- Post
- PayDay
con los dominios de correo:
- @fbi.gov
- @cia.gov
- @smtp.gold-certs
- @sophos
- @ikarus
- @messagelab
- @kaspers
- @yahoo
Asunto, uno de los siguientes:
- Your password
- Paris Hilton & Nicole Richie
- hi, ive a new mail address
- Registration Confirmation
- Registration_Confirmation
- You visit illegal websites
- Your IP was logged
- smtp mail failed
- smtp_mail failed
- YesPayDay is here to help with you cash shortage
Contenido, uno de los siguientes:
- Account and Password Information are attached!
- The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
- hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
- Account and Password Information are attached!
- Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
- Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
- Elana McCormick conduit farmout delightingly sallenders picornavirus. deutocarbonate Maderno customized rearmouse pW quadrivalency chairborne. ungrammaticalness halleflinta phlegethon tinned mendel life-lorn conservancies. osteoplast Evertebrata unmetaphysical satisfiers range Harvard whereis. midvein Epichristian
chile hand-pump hallucal idiotropic Balkanised. otaries acquirability unhealthiest Shakespearize novelless tabulators diachrony. numerologists roughsetter mascled metarsenite resolvible halflings sail-carrying. To remove yourself: http://YW0xaFkyaGha.hankodank.com/block/u.php?
or Postal address:
Hank `O Dank co... Name Management and Compliance
21346 St. AndresBlvd. Suite 214
West Boca, Fla. 33433
Anexado, uno de los siguientes:
- question_list.zip
- list.zip
- reg_pass.zip
- reg_pass-data.zip
- mail.zip
- mail_body.zip
- mailtext.zip
en todos los casos el archivo .ZIP contiene el ejecutable file-packed_datainfo.exe
luego crea la carpeta %Windir%\WinSecurity y libera en la misma copias de sí mismo con los nombres:
- csrss.exe
- services.exe
- smss.exe
libera en codificación base64 copias de sí mismo con los nombres:
- socket1.ifo
- socket2.ifo
- socket3.ifo
y en la carpeta %System% libera los archivos:
- bbvmwxxf.hml
- filesms.fms
- langeinf.lin
- nonrunso.ber
- rubezahl.rub
- runstop.rst
para terminar liberando en la ruta %Windir%\WinSecurity los archivos:
- mssock1.dli
- mssock2.dli
- mssock3.dli
estos últimos archivos almacenarán las direcciones de correo extraídas del sistema.
Para ejecutarse la próxima vez que se re-inicie el sistema el gusano crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%Windir%\WinSecurity\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows" = "%Windir%\WinSecurity\services.exe"
Al siguiente inicio del equipo, el gusano muestra esta falsa caja de diálogo:
y termina cualquier proceso que tenga una de las siguientes cadenas:
- aswclnr
- avwin.
- brfix
- fxsbr
- gcas
- gcip
- giantanti
- guardgui.
- hijack
- inetupd.
- microsoftanti
- nod32.
- nod32kui
- s-t-i-n
- s_t_i_n
- sober
- stinger
El gusano contiene además una rutina, que de hallarla, termina el proceso de la herramienta Microsoft Malicious Software Removal Tool:
http://www.microsoft.com/security/malwareremove/default.mspx#run
luego muestra las siguientes falsas cajas de diálogo:
finalmente intenta conectarse a las siguientes direcciones:
- ntps1-1.uni-erlangen.de
- time.mit.edu
- tick.greyware.com
- tock.keso.fi
- ntp2c.mcc.ac.uk
- ntp1.theremailer.net
- time.chu.nrc.ca
- time-a.timefreq.bldrdoc.gov
- time.nrc.ca
- ntp.massayonet.com.br
- ntp2b.mcc.ac.uk
- ntp2.ien.it
- nist1.datum.com
- swisstime.ethz.ch
- clock.psu.edu
- time.ien.it
- ptbtime2.ptb.de
- Rolex.PeachNet.edu
- ntp.metas.ch
- ntp3.fau.de
- utcnist.colorado.edu
- sundial.columbia.edu
- vega.cbk.poznan.pl
- ntp0.cornell.edu
- ntp-sop.inria.fr
- rolex.usg.edu
- time.xmission.com
- st.ntp.carnet.hr
- ntp-1.ece.cmu.edu
- time.nist.gov
- ntp.lth.se
- cuckoo.nevada.edu
- ntp-2.ece.cmu.edu
- time.kfki.hu
- ntp.pads.ufrj.br
- time-ext.missouri.edu
- ntp1.arnes.si
- timelord.uregina.ca
- gandalf.theunixman.com
mostrando en pantalla:
Este gusano no tienen efectos destructivos pero su rutinas multi SPAM congestiona el tráfico a Internet de los sistemas afectados.
PER ANTIVIRUS® versión 9.5 con registro de virus al 23 de Noviembre del 2005 detecta y elimina eficientemente este gusano.
