Sober.X

SOBER.X gusano de Correo mensajes en inglés y alemán usa servidores de Yahoo para envío masivo.

W32/Sober.X@mm, I.worm.sober.X@mm

Sober.X es un gusano reportado el 16 de Noviembre del 2005, de alta propagación masiva a través de mensajes de correo en idiomas inglés y alemán.

Para incrementar su difusión, emplea algunos servidores de Yahoo como puentes intermediarios de envío (relays), además elimina el proceso del antivirus gratuito Stinger.exe.

Infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual Basic con una extensión de 137KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a las direcciones de correo contenidas en los archivos con las siguientes extensiones:

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctld
htm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Usa como remitentes las direcciones extraídas de los sistemas previamente infectados.

los mensajes tiene las siguentes características:

Asunto: Your eMail Password
Contenido:
Thanks for your registration! Your registration will not be complete until you re-confirm it. Please read the following agreement. If you accept it, click the "Accept" to complete your registration!

Anexado: Accept_e-Text.zip

o en alemán:

Asunto: Subject: BruteForceBegin
Contenido:
Musste mir leider ne neue Mail-Addy machen. Meine alte wird nur noch zu gemuellt mit Spam.
Habe dir auch gleich die Datei mitgeliefert die du immer haben wolltest. Ist aber ziemlich per....

Ok, man sieht sich

Anexado: Mail-Datei.zip (containing accept_emailtextdata.exe )

en ambos casos el archivo .ZIP contiene el ejecutable accept_emailtextdata.exe

Al ser ejecutado muestra la siguiente falsa caja de diálogo:

luego crea las siguientes carpetas:

C:\Winnt\ConnectionStatus
C:\Winnt\ConnectionStatus\Microsoft

y copia a las iguientes rutas los archivos:

C:\Winnt\ConnectionStatus\Microsoft\concon.www (con direcciones capturadas en sistemas previamente infectados)
C:\Winnt\ConnectionStatus\Microsoft\services.exe (componente principal del gusano)
%System%\bbvmwxxf.hml (con "0" bytes)
%System%\gdfjgthv.cvq (con "0" bytes)
%System%\system32\langeinf.lin (con "0" bytes)
%System%\system32\nonrunso.ber (con "0" bytes)
%System%\system32\rubezahl.rub (con "0" bytes)
%System%\system32\runstop.rst (con "0" bytes)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"_WinCheck" = C:\Windows\ConnectionStatus\Microsoft\services.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinCheck" = C:\Windows\ConnectionStatus\Microsoft\services.exe"

La próxima vez que se re-inicie el equipo, el gusano inicia su rutina de captura de direcciones y envío masivo de correo.

Además del puerto TCP 25, emplea el puerto TCP 587 para conectarse a determinados servidores de Yahoo para usarlos como puentes (relays) intermediadores del envío masivo de mensajes.

El gusano contiene un rutina "anti-stinger" que al detectar el archivo stinger.exe termina su proceso y muestra esta caja de diálogo:

Aunque no tienen efectos destructivos al usar como "relays" servidores de Yahoo congestionan el tráfico a Internet de las conexiones y servidores involucrados, reduciendo además la velocidad de rendimiento de los equipos infectados.

PER ANTIVIRUS® versión 9.5 con registro de virus al 16 de Noviembre del 2005 detecta y elimina eficientemente este gusano.