W32/Sober@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano que propaga por correo electrónico. Puede presentarse como una herramienta eliminadora de virus.

Nombre de virus: W32/Sober@MM
Alias conocidos: I-Worm.Sober
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero adjunto (.exe,.com,.pif, .scr)
Detección: desde DATS 4300
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Sober@MM, es un gusano de correo electrónico (mass-mail) escrito en Visual Basic. Llega como fichero adjunto con uno de los siguientes nombres:

· Anti-Sob.bat

· anti-Sob.bat

· AntiTrojan.exe

· anti-trojan.exe

· AntiVirusDoc.pif

· Bild.scr

· Check-Patch.bat

· check-patch.bat

· CM-Recover.com

· CM-recover.com

· Funny.scr

· funny.scr

· Hengst.pif

· Liebe.com

· little-scr.scr

· love.com

· Mausi.scr

· nacked.com

· NackiDei.com

· NAV.pif

· Odin_Worm.exe

· perversion.scr

· Perversionen.scr

· pic.scr

· playme.exe

· potency.pif

· Privat.exe

· private.exe

· Removal-Tool.exe

· removal-tool.exe

· robot_mail.scr

· robot_mailer.pif

· RobotMailer.com

· schnitzel.exe

· screen_doc.scr

· Screen_Doku.scr

· security.pif

El asunto del mensaje puede ser variado, en inglés o alemán. En algunas ocasiones se presenta como si fuera una actualización de una empresa antivirus, para confundir al usuario.

El gusano contiene su propio motor SMTP para propagarse, y reúne las direcciones de e-mail a donde propagarse desde ficheros de la máquina local, guardándolas en el siguiente fichero

%SysDir%\MACROMED\HELP\MEDIA.DLL

(donde %SysDir% es el directorio Windows System. Los directorios MACROMED\HELP son creados por el gusano)

El gusano se instala dentro de %SysDir% del equipo afectado:

· %SysDir%\SIMILARE.EXE

Adicionalmente, genera otras dos copias del gusano con nombre de fichero variable, por ejemplo:

· %SysDir%\WINREG.EXE

· %SysDir%\FILEXE.EXE

· %SysDir%\ANTIV.EXE

· %SysDir%\SYSTEMINI.EXE

· %SysDir%\DRIVERINI.EXE

· %SysDir%\SYSTEMCHK.EXE

Estos dos últimos ficheros son los responsables de monitorizar y mantener al gusano residente en memoria. Si se finaliza de la memoria uno de los procesos del gusano, otra copia reiniciará el proceso terminado rápidamente.

Igualmente, añade claves en el registro para provocar su carga al inicio del sistema, por ejemplo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\FILEXE.EXE

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\FILEXE.EXE

donde (string) varia entre infecciones.

Tras su ejecución, el gusano visualiza un falso mensaje de error:

Barra de título: Error
Mensaje: File not complete!

Detección y eliminación
El gusano se controla desde los DAT 4300 , para su eliminación se recomienda ejecutar nuestra utilidad ELISOBEA .

SATINFO, VIRUSCAN SPAIN SERVICE 31 de Octubre de 2003