Sober.J

SOBER.L, gusano de Correo con mensajes en inglés y alemán intenta congestionar conexiones a Internet.

W32/Sober.L@mm, I.worm.sober.L@mm

Sober.L es un gusano reportado el 08 de Marzo del 2005, de alta propagación masiva a través de mensajes de correo, que usa la denominada "ingeniería social" al aducir contener la contraseña y cuenta del usuario receptor. Es enviado en idiomas inglés y alemán.

Aunque es inocuo intenta congestionar las conexiones a Internet y cuentas de correo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con 44 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todas las direcciones de correo del sistema infectado y en las contenidas en los archivos con las siguientes extensiones:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

El gusano realiza peticiones DNS usando los registros de intercambio de correo (MX) de los nombres de dominio de los buzones de correo que captura.

Omite enviarse a las direcciones que tengan las siguientes cadenas:

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

El mensaje se envía en idiomas inglés o alemán con las siguientes características:

Remitente: falseado con la técnica Spoofing.
Asunto: Your Password & Account number
Contenido:
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...

Adjunto: acc_text.zip:

el mensaje en alemán tiene las características:

Remitente: falseado con la técnica Spoofing.
Asunto: Ich habe Ihre E-Mail bekommen!
Contenido:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese
Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

Gruss

Adjunto: MailTexte.zip

El gusano se desempaqueta en memoria con el nombre de:

Mail_text-data.txt[espacios_en_blanco].pif

Luego se auto-copia a la siguiente ruta con el nombre:

%Windir%\msagent\system\smss.exe

libera además los siguientes archivos en las rutas:

%System%\nonrunso.ber (archivo log)
%System%\read.me
%System%\stopruns.zhz (archivo log)
%System%\xcvfpokd.tqa (archivo log)
%Windows%\msagent\system\emdata.mmx (almacena las direcciones extraídas)
%Windows%\msagent\system\zipzip.zab (copia del gusano en codificación base 64)

el archivo READ.ME contiene las siguientes cadenas:

test test test

In diesem Sinne:
Odin alias Anon

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_Services.dll" = "%Windows%\msagent\system\smss.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"_Services.dll" = "%Windows%\msagent\system\smss.exe"

Una vez activado el gusano, termina los procesos activos que tengan una de las cadenas:

gcas
gcip
giantanti
hijackthis
stinger

PER ANTIVIRUS® versión 9.1 con registro de virus al 08 de Marzo del 2005 detecta y elimina eficientemente este gusano.