|
SOBER.AX gusano de
correo MultiSPAM en inglés y alemán sobre-escribe TCPIP.SYS congestiona
tráfico de Internet.
|
|
© Jorge Machado Lima-Perú
|
|
W32/Sober.AX@mm
Sober.AX es
un gusano de mensajes de correo en idiomas inglés y alemán, Multi SPAM con rutinas de alta propagación masiva,
reportado el 02 de Mayo del 2007.
Posee su propio SMTP (Simple Mail Transfer Protocol) y
hace uso además de diversos servidores SMTP ubicados
en diferentes ciudades del mundo, uitlizándolos como puentes intermediarios de envío.
Infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual Basic con una extensión
de 88KB y comprimido
con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Extrae las direcciones de correo de los archivos con las siguientes
extensiones:
- abc
- abd
- abx
- adb
- ade
- adp
- adr
- asp
- bak
- bas
- cfg
- cgi
- cls
- cms
- csv
- ctl
- dbx
- dhtm
- doc
- dsp
- dsw
- eml
- fdb
- frm
- hlp
- imb
- imh
- imm
- inbox
- ini
- jsp
- ldb
- ldif
- log
- mbx
- mda
- mdb
- mde
- mdw
- mdx
- mht
- mmf
- msg
- nab
- nch
- nfo
- nsf
- nws
- ods
- oft
- php
- phtm
- pl
- pmr
- pp
- ppt
- pst
- rtf
- shtml
- slk
- sln
- stm
- tbb
- txt
- uin
- vap
- vbs
- vcf
- wab
- wsh
- xhtml
- xls
- xml
Evitando enviarse a aquellas que tengan las siguientes cadenas de texto:
- america.hm
- arcor.de
- asia
- australiamail
- Avast
- bluewin.ch
- cia.gov
- e-mail.dk
- F-Secure
- gmail
- google
- heise.de
- icqmail
- lycos
- newyork
- sophos
- swissinfo.org
- trendMicro
- webmails
- zonnet.nl
los mensajes tiene las siguentes características:
Remitente, una combinación aleatoria de nombres:
- [remitente]@aol.de
- [remitente]@gmx.de
- [remitente]@hotmail.com
- [remitente]@microsoft.com
- [remitente]@web.de
[remitente] puede ser uno de los siguientes:
- Admin
- Hostmaster
- Postmaster
- Webmaster
Asunto, uno de los siguientes:
- Ihr Passwort wurde geaendert!
- Fehlerhafte Mailzustellung
- Ihr Account wurde eingerichtet!
- Your Updated Password!
- Error in your eMail
Contenido, uno de los siguientes:
- Ihr Passwort wurde erfolgreich geaendert.
Ihre neuen Account-Daten und Passwort befinden sich gesichert im Anhang!
- Diese Nachricht wurde Automatisch generiert.
- Ihre EMail konnte nicht empfangen oder gesendet werden.
***** Web: http://www.[dominio_pre-definido]
***** E-Mail: [target email add]
- Danke das Sie sich fuer uns entschieden haben.
Um ihren neuen Account zu aktivieren, folgen sie der kurzen Anleitung im Anhang. Es sind nur 2 Schritte noetig!
***** Web: http://www.[dominio_pre-definido]
***** E-Mail: [target email add]
- You notified us that you have forgotten your password.
We have changed your password to a random sequence of letters and digits!
For more detailed information, see the attached password file ...
***** Web: http://www.[dominio_pre-definido]
***** E-Mail: [email_pre-definido]
- Your eMail has occurred an unknown error on our Server.
Please read your mail and check the text.
The full email is attached!
*** auto mailerdaemon XPath 7
*** (c) by [dominio_pre-definido]
Anexado, uno de los siguientes:
- Anleitung.zip
- Mail_Data.zip
- Passw_Data.zip
- PDaten.zip
en todos los casos el archivo .ZIP contiene el ejecutable
services.exe
al activarse crea la carpeta %Windir%\PoolData y libera en la misma copias de sí mismo con los nombres:
- csrss.exe
- services.exe
- smss.exe
- runnor.ssy
- wind.osa
- xpsys.ddr
libera en codificación base64 copias de sí mismo con los nombres:
- spxttx1.xnt
- spxttx2.xnt
- spxttx3.xnt
Para disminuir la velocidad de proceso en Windows XP
SP2 modifica el archivo TCPIP.SYS
que controla las conexiones de red y acceso a Internet.
%Windir% es una variable que corresponde
a C:\Windows en Windows 95/98/Me/XP/Server
2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System
para Windows 95/98/Me, C:\Winnt\System32
para Windows NT/2000 y C:\Windows\System32
para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema el gusano crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinData" = "%Windows%\PoolData\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinData" = "%Windows%\PoolData\services.exe"
Al siguiente inicio del equipo, el gusano
activa e inicia sus rutinas de envio de mensajes de coorreo MultiSPAM.
Posee su propio SMTP (Simple Mail Transfer Protocol) y
hace uso además de los siguientes servidores SMTP:
- auth.smtp.kundenserver.de
- mail.arcor.de
- mail.gmx.net
- mail.softhome.net
- mx.freenet.de
- post.strato.de
- relay.clara.net
- smtp.1und1.de
- smtp.ameritech.yahoo.com
- smtp.aol.com
- smtp.compuserve.de
- smtp.gmail.com
- smtp.googlemail.com
- smtp.isp.netscape.com
- smtp.lycos.de
- smtp.mail.ru
- smtp.mail.yahoo.co.uk
- smtp.mail.yahoo.com
- smtp.sbcglobal.yahoo.com
- smtp.web.de
- smtpauth.bluewin.ch
- smtpauth.earthlink.net
Este gusano no tienen efectos destructivos pero su rutinas multi SPAM congestiona el tráfico a Internet de los sistemas afectados.
PER ANTIVIRUS® versión
10.1 con registro de virus al 02 de Mayo del 2007 detecta y elimina eficientemente este gusano.
