Sober.E

SOBER.E, gusano de propagación masiva con remitentes asuntos contenido y archivos anexados aleatorios.

W32/Sober.C@mm, I.worm.sober.E@mm

Sober.E es un gusano reportado el 29 de Marzo del 2004, de alta propagación masiva a través de mensajes de correo con Remitentes falsos, Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 30 KB de extensión promedio y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) que utiliza la técnica Email Spoofing para disfrazar las direcciones de los Remitentes y los mensajes tienen las siguientes características:

Remitente: está compuesto por los siguientes nombres con uno de los dominios @gmx.net o gmx.de:

aRuder
g.rulers
S.Serger
Dude-X777
Nicole.Pam
R.Summer
T.Welder
Susan.Ewing
E.Ruders
Blond.Sybil
Michelle.Horn
Sabine.S-1977
E.Juller
Pamela-S
J.Moders
Regina-1978
BMueller4
Elsbeth.Sinker
Thomas.Schmahler
Nikki.1978
D.Rotter
Patricia.1979
Patty.Geldorf
H.Molma
Birgit.Muse
Peter.Selders
Johanna.1980
Nicole.Gellert
R.Niere
P.Schulz1
Kalif.Rent
Herbert.Weed
FParker
Samatha.Kelis
Kate.Lee
Bibi.Besen
Julia.Witt1
Alexander.Bendher
Rosemarie.Hetter
A.Rebert
Elke.Duerr
D.Winter1
Angelika.Neum
A.Kempen
KevinEder
Susan.Leet
Friedhelm.alt
Seth.Liveima
Eileen.Leen
D.Augustam
B.Kaine
MikeLord
Kathe.Meet
Marie.Dreher
Tom.Schon
Lisa.Redfield
P.Schulz1
C.Poller
Ulrike.Falkner
b.sieber006
Jundel
A.Mack1
R.Kleinmaurer
S.Loltke

El gusano evita enviarse a las direcciones que tienen las siguientes cadenas:

arcor
bigfoot
hotmail
online
web
yahoo

Asunto, uno de los siguientes:

Hi
HEY
Hey!
hey?
hi
Hi :-)
OK :-)
OK OK
OK ok OK

Contenido, uno de los siguientes:

;-)
HA
ha!
lol
LoL
LOL
THX
Thx!
thx
yo!

Adjunto, cualquiera de los siguientes archivos:

Text.zip
Text.pif
Read.zip
Read.pif
Graphic-doc.zip
Graphic-doc.pif
document.zip
document.pif
Word.zip
Word.pif

Al ser ejecutado el archivo anexado ejecuta el utilitario mspaint.exe (Paint Brush) o muestra la siguiente caja de diálogo:

En caso que el sistema no estuviese conectado a Internet, el gusano intenta discar las conexiones disponibles ya sean locales o remotas o muestra la siguiente caja de diálogo:

Simultáneamente se auto-copia en la carpeta %System% con un nombre aleatorio con extensión .EXE además de liberar en la misma ruta los siguientes archivos:

bcegfds.lll
MsHelp32.dat
msWord.wrd
zmndpgwf.kxx
WinRun32.dll

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"[valor_aleatorio]" = "%System%\[nombre_de_archivo_aleatorio].EXE"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"[valor_aleatorio]" = "%System%\[nombre_de_archivo_aleatorio].EXE %1"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003 y

El [valor_aleatorio] y el [nombre_de_archivo aleatorio] son compuestos de las siguientes cadenas:

32
crypt
data
diag
dir
disc
explorer
host
log
run
service
smss32
spool
sys
win

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en archivos con las siguientes extensiones:

INI
LOG
MDB
TBB
ABD
ADB
PL
ABX
RTF
DOC
XLS
TXT
WAB
EML
PHP
ASP
SHTML
DBX
WAB
TBB
ABD
ADB
PL

Luego el gusano intenta conectarse a los siguientes servidores NTP (Network Time Protocol) a través del puerto TCP 37 para determinar la fecha del día:

Rolex.PeachNet.edu
ntps1-1.cs.tu-berlin.de
ntp2.fau.de
ptbtime2.ptb.de
time.nrc.ca
ntp.metas.ch
ntps1-0.cs.tu-berlin.de
ntp0.fau.de
timelord.uregina.ca
ntp-1.ece.cmu.edu
ptbtime1.ptb.de
time.ien.it
ntp3.fau.de
time.chu.nrc.ca
clock.psu.edu
ntp1.fau.de

Si la fecha es posterior al 24 de Marzo del 2004, el gusano intenta descargar un archivo (inexistente) de uno de estos dominios:

home.arcor.de
people.freenet.de

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de las direcciones de correo extraídas de archivos de una gran diversidad de extensiones.
Evita enviarse a direcciones con determinadas cadenas.
Posee su propio SMTP (Simple Mail Transfer Protocol) que utiliza la técnica Email Spoofing para disfrazar la cabecera de los Remitentes.
Los Remitentes son falsos y tiene Asuntos, Contenidos y archivos Anexados aleatorios.
Se copia a la carpeta %System% con un nombre de archivo aleatorio, con extensión .EXE y libera cinco componentes, entre archivos temporales, copias de sí mismo y una bitácora de direcciones.
Si la fecha es posterior al 24 de Marzo del 2004, el gusano intenta descargar un archivo (inexistente) de uno de dos dominios.

PER ANTIVIRUS® versión 8.5 y 8.6 con registro de virus al 28 de Marzo del 2004 detecta y elimina eficientemente este gusano.