Sober.B

SOBER.B, gusano de propagación masiva, usa dos archivos en memoria que se auto-regeneran, etc.

W32/Sober.B@mm, I.worm.sober.B@mm

Sober.B es un gusano reportado el 19 de Diciembre del 2003, de alta propagación masiva a través de mensajes de correo con diversos Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria, en idiomas inglés y alemán.

Al enviar mensajes donde los dominios regionales son DE, CH, AT, LI, NL o BE el gusano emplea el idioma alemán.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 54 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) que utiliza la técnica Email Spoofing para disfrazar la cabecera de los Remitentes y los mensajes tienen las siguientes características:

Asunto, uno de los siguientes:

George W. Bush plans new wars
George W. Bush wants a new war
Have you been hacked?
You Got Hacked
Der Kannibale von Rotenburg
Hihi, ich war auf deinem Computer
Ich habe Sie Ge-hackt
Du bist Ge-Hackt worden

Contenido, uno de los siguientes

Contenido 1
Bush plans new wars against China, Cuba and Iran.
Please visit our website and vote against this very crazy war(s).
More information:

Contenido 2
by me,, idiot!
haha, very nice files on your system.
i've made a website. i show your files on this website hahaha
visit:

Contenido 3
YA of me
a great many files on your pc and very very interesting
what would say the police?!,,, i don't know .-]

Contenido 4
i've files of you
[espacio_en_blanco]
[espacio_en_blanco]
see:

Adjunto, cualquiera de los siguientes:

allfiles.cmd
Daten-Text.pif
DateiList.pif
Server.com
yourlist.pif
www.gwbush-new-wars.com
www.hcket-user-pcs.com

Al ser ejecutado el archivo anexado se muestra la siguiente caja de diálogo:

El mismo que sin ser aceptado se auto-copia a la carpeta %System% como spooler.exe mas un archivo de nombre aleatorio elegido entre los siguientes:

EKQVDLASVC.EXE
RZHCRYPT.EXE
ENDSVC.EXE
SVCDLL.EXE
HEX16HQ.EXE
XPEGSYS32.EXE
DRVDISK.EXE
WINDISKDAT.EXE
SYSWINLL.EXE

Uno de estos archivos se instala en memoria y verifica que el archivo spooler.exe se encuentre en ejecución. Si uno de ellos es terminado o borrado el otro archivo lo regenerará.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003 y para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Run %ruta_de_archivo%" = "%System%\[nombre_aleatorio.exe]"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Run %ruta_de_archivo%" = "%System%\[nombre_aleatorio.exe]"

%ruta_de_archivo% es formada por %System% y el nombre de archivo aleatorio copiado inicialmente.

Al siguiente re-inicio el gusano revisa los archivos con las siguientes extensiones, capturando las direcciones de correo, las cuales almacena en la carpeta %System% en un archivo de nombre mscolmon.ocx:

.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.nsf
.asp
.shtml
.shtm
.dbx
.hlp
.mht
.nfo

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de las direcciones de correo extraídas de archivos de una gran diversidad de extensiones.
Posee su propio SMTP (Simple Mail Transfer Protocol) que utiliza la técnica Email Spoofing para disfrazar la cabecera de los Remitentes.
Se copia a la carpeta %System% con un nombre de archivo determinado mas otro elegido en forma aleatoria.
Uno de estos archivos se instala en memoria y verifica que el archivo spooler.exe se encuentre en ejecución. Si uno de ellos es terminado o borrado el otro archivo lo regenerará.

PER ANTIVIRUS® versión 8.4 con registro de virus al 19 de Diciembre del 2003 detecta y elimina eficientemente este gusano.