Sober.J

SOBER.N gusano de Correo con mensajes en inglés y alemán intenta descargar Backdoor termina procesos.

W32/Sober.N@mm, I.worm.sober.N@mm

Sober.N es un gusano reportado el 01 de Abril del 2005, de alta propagación masiva a través de mensajes de correo en idiomas inglés y alemán.

Intenta descargar de diversos sitios web un archivo Backdoor con código maligno y congestiona las conexiones a Internet y cuentas de correo.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual Basic con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

exe
msi
scr
com
bat
pif
jpg
mp3
mp4
jpeg
png
avi
mpg
mpeg
cmd

Se auto-envía a las direcciones capturadas del sistema infectado con mensajes en idiomas inglés o alemán, usando como Remitentes direcciones disfrazadas bajo la técnica Spoofing.

el contenido del mensaje será enviado en alemán a las direcciones extraídas que tengan las siguientes cadenas:

@gmx
@web
@arcor
@freenet

Los archivos anexados pueden ser uno de los siguientes:

csrss.exe
[nombre_aleatorio].exe
_[nombre_aleatorio].exe

Al ser ejecutado se copia a las siguientes rutas con los nombres:

%Windir%\addins\explorer\csrss.exe
%System%\[nombre_aleatorio].exe
%Temp%\_[nombre_aleatorio].exe

libera además los siguientes archivos en las rutas:

%Windir%\addins\explorer\infectok.iok
%Windir%\addins\explorer\jjfggggr.oou
%System%\nonrunso.ber
%System%\adcmmmmq.hjg
%System%\xcvfpokd.tqa
%System%\stopruns.zhz

El archivo jjfggggr.oou tiene formato de texto y donde el gusano almacenará las direcciones de correo extraídas.

Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemDriver" = "%Windir%\addins\explorer\csrss.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_SystemDriver" = "%Windir%\addins\explorer\csrss.exe"

La próxima vez que se re-inicie el equipo el gusano se registra a sí mismo como el servicio Wscsvc.

luego verifica si el sistema está conectado a Internet invocando los siguientes dominios:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

intenta descargar un archivo Backdoor de los dominios:

home.arcor.de
people.freenet.de
free.pages.at
scifi.pages.at
home.pages.at

termina los procesos activos que tengan una de las cadenas:

gcip
giantanti
stinger
hijack
sober
rclean

aleatoriamente muestra la siguiente falsa caja de diálogo:

luego genera un archivo inocuo de nombre WinsockError_log.txt en el directorio raíz de C:\

PER ANTIVIRUS® versión 9.2 con registro de virus al 01 de Abril del 2005 detecta y elimina eficientemente este gusano.