Propagación Media de variante de virus w32/Sober que
se presenta como parche de Microsoft para w32/Mydoom.
Nombre de virus: W32/Sober.d@MM
Alias conocidos: W32/Roca-A
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por
ejecución de fichero .EXE adjunto
Detección: desde
DATS 4334
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)
w32/Sober.d@MM es un gusano mass-mailing escrito en
Visual Basic. Al igual que su variante previa w32/Sober.c@MM el gusano presenta
las siguientes características:
- contiene su propio motor SMTP
- las direcciones email origen/destino las recopila del equipo
infectado
- los mensajes salientes hacen mención a que incluyen un
parche de Microsoft (mensaje en inglés o alemán)
- Propagación por correo electrónico
Propagación por Correo Electrónico
El gusano extrae las direcciones email destino del equipo infectado
y las escribe en el fichero MSLOGS32.DLL en %SysDir%.
Los mensajes salientes se construyen utilizando el motor SMTP del
propio gusano. Los mensajes pueden estar escritos en Inglés o Alemán, y el nombre del
fichero adjunto puede variar. La dirección email destino se utiliza para determinar el
lenguaje a utilizar en el mensaje. Si contiene cualquiera de las siguientes, el idioma
será alemán:
Las direcciones de email se recopilan de ficheros con las siguientes
extensiones:
- log
- mdb
- tbb
- abd
- adb
- pl
- rtf
- doc
- xls
- txt
- wab
- eml
- php
- asp
- shtml
- dbx
- ttt
- wab
- tbb
Los mensajes de correo simulan provenir de Microsoft y contener un
parche para protegerse del virus W32/Mydoom@MM. A continuación, algunos ejemplos:
From: (remitente )@microsoft.(país ) , donde remitente
será uno de la siguiente lista:
- Info
- Center
- UpDate
- News
- Help
- Studio
- Alert
- Security
y país uno de la siguiente lista:
- de (para mensajes en Alemán)
- at (para mensajes en Alemán)
- com (para mensajes en Inglés)
Asunto: Variable, y contiene caracteres aleatorios. Para
mensajes en alemán e inglés respectivamente, la línea de asunto comienza:
- Microsoft Alarm: Bitte Lessen!
- Microsoft Alert: Please Read!
Mensaje:
(versión en alemán)
Neue Virus-Variante W32.Mydoom
verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende
Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch
+++
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
(versión en inglés)
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan component listens
on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com
Adjunto: Puede ser un .EXE o .ZIP, con nombre de fichero
variable. El nombre de fichero EXE se construye desde un nombre y un número aleatorio
(opcional). El nombre se escoge de la siguiente lista:
- sys-patch
- MS-UD
- MS-Security
- Patch
- Update
- MS-Q
El número aleatorio puede tener 5 o 10 dígitos de longitud. Por
ejemplo:
- MS-UD89021.EXE
- MS-Q4532364791.EXE
Si se presenta dentro de un ZIP, el nombre del gusano dentro del ZIP
suele tener el siguiente formato:
El virus no se envía a direcciones de email que contengan
cualquiera de las siguientes cadenas:
- @arin
- @avp
- @foo.
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @msn.
- @nai.
- @ntp.
- @panda
- @sophos
- abuse
- admin
- antivir
- bitdefender
- clock
- detection
- domain.
- emsisoft
- ewido.
- free-av
- google
- host.
- hotmail
- info@
- linux
- microsoft.
- mozilla
- ntp-
- ntp@
- office
- password
- postmas
- redaktion
- service
- spybot
- support
- symant
- t-online
- time
- variabel
- verizon.
- viren
- virus
- winrar
- winzip
Instalación
Una vez se ejecuta el fichero adjunto, pueden mostrarse mensajes
falsos, como los siguientes:
El virus se instala en el directorio %SYSDIR% del
equipo infectado, utilizando uno de varios posibles nombres de fichero (construidos a
partir de una batería de cadenas incluidas en el mismo gusano). Por ejemplo:
También añade la siguientes claves de registro para ejecutarse al
inicio del sistema:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\disc32data
"spool32" = %SYSDIR%\diagwinhost.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"diagdir" = %SYSDIR%\diagwinhost.exe %1
Los nombres de fichero y claves de registro utilizados son
aleatorios y se construyen desde la siguiente lista de cadenas:
- sys
- host
- dir
- explorer
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
El gusano también genera los siguientes ficheros en %SYSDIR%:
- Humgly.lkur
- temp32x.data (46.244 bytes, copia del gusano codificada en
Base-64)
- wintmpx33.dat (46.426 bytes, ZIP codificado en Base-64
conteniendo el gusano)
- yfjq.yqwm
- zmndpgwf.kxx
(donde %SYSDIR% es C:\winnt\system32 o C:\windows\system32)
Detección y eliminación
El gusano se controla desde los DAT
4334 , para su eliminación se recomienda ejecutar
nuestra utilidad ELISOBEA.
SATINFO, VIRUSCAN SPAIN SERVICE 11 de Marzo de 2004
Anterior 
