Sober.I

SOBER.I, gusano de propagación masiva con remitentes asuntos contenido y archivos anexados aleatorios.

W32/Sober.I@mm, W32/Sober.J@mm, I.worm.sober.I@mm

Sober.I es un gusano reportado el 19 de Noviembre del 2004, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria, en idiomas inglés o alemán.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 55 KB de extensión promedio y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El mensaje tiene las siguientes características:

Remitente: posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en la Libreta de Direcciones de Windows o de MS Outlook o emplea uno de los siguientes falsos nombres, seguidos del dominio de Correo del sistema infectado:

Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info

Evita enviarse a las direcciones que tienen las siguientes cadenas de texto:

.dial.

.kundenserver.

.ppp.

.qmail@

.sul.t-

@arin

@avp

@ca.

@example.

@foo.

@from.

@gmetref

@iana

@ikarus.

@kaspers

@messagelab

@msn

@nai.

@panda

@smtp.

@sophos

@spiegel.

@www

abuse

announce

antivir

anyone

anywhere

bellcore.

bitdefender

clock

-dav

detection

domain.

emsisoft

ewido.

freeav

free-av

ftp.

gold-certs

google

host.

icrosoft.

ipt.aol

law2

linux

mailer-daemon

me@

mozilla

msdn.

mustermann@

nlpmail01.

noreply

nothing

ntp-

ntp@

office

password

postmas

reciver@

redaktion

secure

service

smtp-

somebody

someone

spybot

sql.

support

t-dialin

time

t-ipconnect

user@

variabel

verizon.

viren

virus

whatever@

whoever@

winrar

winzip

you@

yourname

Asunto, uno de los siguientes:

Confirmation
Delivery_failure_notice
Details
Faulty_mail delivery
illegal signs in your mail
invalid mail
mail delivery system
Mail delivery_failed
Mail Error
Mail_Delivery_failure
Oh God it's
Registration confirmation
Your mail password
Your Password i

Contenido, uno de los siguientes:

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
*-*-* Mail_Scanner: No Virus
*-*-* SKYNET- Anti_Virus Service
*-*-* http://www.skynet.be
Your password was changed successfully!
Protected message is attached!
++++++ User-Service: http://www.[dominio]
++++++ MailTo: postmaster [dominio]

Adjunto, cualquiera de los siguientes archivos:

im_shocked
oh_nono
thats_hard

con una de las siguientes extensiones:

Los Asuntos, Contenidos y archivos Anexados pueden ser enviados en lenguaje alemán.

Al ser ejecutado el archivo anexado muestra la siguiente falsa caja de diálogo:

Luego el gusano se auto-copia copia a la carpeta %System% con los nombres de archivos codificados como UUE:

CLONZIPS.SSC
CLSOBERN.ISC
NONZIPSR.NOZ
ZIPPEDSR.PIZ

Los archivos codificados UUE son algoritmos usados para convertir archivos en caracteres ASCII de 7 bits y que facilitan su transmisión en Internet entre plataformas Windows, Unix o Mac.

También crea los siguientes archivos para almacenar las direcciones de correo para su envío masivo:

Winexerun.dal
Winmprot.dal
Winroot64.dal
Winsend32.dal

Además libera los siguientes archivos con CERO bytes:

cvoqaikxt.apk
dgssxy.yoi
odin-anon.ger
sysmm32.lla

Finalmente copia a la carpeta %System% dos de sus principales componentes, los mismos que contienen sus rutinas de propagación. Los nombres de estos archivos son compuestos usando dos de cualquiera de los siguientes nombres, seguidos de la extensión .EXE:

32
CRY
DATA
DIAG
DIR
DISC
EXPOLER
HOST
LOG
PT
RUN
SERVICE
SMSS32
SPOOL
SYS
WIN

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"windiag" = "%System%\[archivo_infectado]"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"syscryptsmss32x" = "%System%\[archivo_infectado] %srun%"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"servicediag" = "%System%\[archivo_infectado]"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"datadirrunx" = "%System%\[archivo_infectado] %srun%"

Al siguiente re-inicio el gusano verifica si el sistema está conectado a Internet intentando acceder a cualquiera de las siguientes dominios:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx

Aunque no está demostrado, el gusano contiene instrucciones para descargar un Backdoor desde una dirección en la web, la misma que se encuentra cifrada.

PER ANTIVIRUS® versiones 8.9 y 9.0 con registro de virus al 19 de Noviembre del 2004 detectan y eliminan eficientemente este gusano.