|
W32/Sober.J@mm, W32/Sober.K@mm, I.worm.sober.J@mm
Sober.J es un gusano reportado el 1o de Febrero del 2005, de alta propagación masiva a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados, elegidos en forma aleatoria, en idiomas inglés o alemán.
Incrementa el tráfico vía el puerto TCP 37 e intenta saturar las conexiones a Internet y cuentas de correo.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 43 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado contenidas en los archivos con las siguientes extensiones:
El gusano realiza peticiones DNS usando los registros de intercambio de correo (MX) de los nombres de dominio de las direcciones de correo que captura.
Omite enviarse a las direcciones que tengan las siguientes cadenas:
El mensaje se envía en idiomas inglés o alemán con las siguientes características:
Remitente: falseado con la técnica Spoofing.
Asunto: I've got YOUR email on my account!!
Contenido:
Hello,
First, Sorry for my very bad English!
Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a name & adress. I think it's your name and adress.
In the last 8 days i've got 7 mails in my mail-box, but the recipient are you, not me. Lol
OK, I've copied all email text in the Windows Text-Editor and i've zipped the text file with WinZip.
The sender of this mails is in the text file, too.
bye
Adjunto: uno de los siguientes:
·mail_text-info.txt[espacios_en_blanco].pif
·text.zip
el mensaje en alemán tiene las características:
Remitente: falseado con la técnica Spoofing.
Asunto: Ey du DOOF Nase, warum beantw...
Contenido:
Warum beantwortest Du meine E-Mails nicht?
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit Winzip kleiner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....
Adjunto: uno de los siguientes:
·mail_text-info.txt[espacios_en_blanco].pif
·Texte.zip
Luego el gusano se auto-copia a la carpeta %System% con uno de los siguientes nombres:
con la extensión .EXE
También libera los siguientes en la carpeta %System%:
Además libera los siguientes archivos con CERO bytes:
Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"entrada_aleatoria_1" = "%System%\[nombre_del_archivo].exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"entrada_aleatoria_2" = "%System%\[nombre_del_archivo].exe"
Una vez activado el gusano, además de ejecutar su rutina de envío masivo de mensajes evidencia exceso de trafico NTP (Network Time Protocol) a través del puerto TCP 37, intentos de saturar varias cuentas GMX (POP3) y peticiones DNS a los
siguientes dominios:
aunque no está demostrado, el gusano tiene instrucciones para descargar un Backdoor desde la direcciones:
El gusano crea un archivo de texto alusivo a su autor:
|
Ist nur eine kleine Test-Version In diesem Sinne: Odin alias Anon |
PER ANTIVIRUS® versión 9.1 con registro de virus al 1o de Febrero del 2005 detecta y elimina eficientemente este gusano.
