NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de virus w32/Sober de PROPAGACIÓN MEDIA.


Nombre de virus: W32/Sober.j@MM
Alias conocidos: Trojan.Win32.VB.qa , W32.Sober.I@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico.
Activación: Por abrir el fichero adjunto al mensaje
Detección: desde DATS 4409
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

Esta nueva variante de w32/Sober@MM está comprimida con UPX, y se envía masivamente a todas las direcciones de email que recopila en el equipo infectado.

Cuando el usuario pulsa doble-click sobre el adjunto infectado, el gusano visualiza un falso mensaje de error:


Genera dos copias de sí mismo en la carpeta de sistema, utilizando un nombre construido. Ambos ficheros están corriendo en memoria y uno accede al otro con acceso exclusivo de lectura.

Los nombres de fichero se construyen combinando estas cadenas y acabando siempre en '.exe':

  • sys
  • host
  • dir
  • expoler
  • win
  • run
  • log
  • 32
  • disc
  • crypt
  • data
  • diag
  • spool
  • service
  • smss32

 

Por ejemplo:

  • datadiscwin.exe
  • cryptservice.exe
  • runlog32.exe


y genera las siguientes claves de registro para ser ejecutado en cada inicio de la máquina:

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
    Data: C:\WINNT\System32\datadiscwin.exe
  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
    Data: C:\WINNT\System32\datadiscwin.exe


Los nombres de fichero y claves anteriores no son fijos, se construyen como se menciona antes.

Adicionalmente, el gusano crea los siguientes ficheros en la carpeta %windir%\system :

  • clonzips.ssc 78.090 bytes
  • clsobern.isc 77.738 bytes
  • cvqaikxt.apk 0 bytes
  • dgssxy.yoi 0 bytes
  • nonzipsr.noz 77.738 bytes
  • Odin-Anon.Ger 0 bytes
  • sb2run.dii 0 bytes
  • sysmms32.lla 0 bytes
  • winexerun.dal 1.779 bytes
  • winmprot.dal 1.832 bytes
  • winroot64.dal 672 bytes
  • winsend32.dal 1.779 bytes
  • zippedsr.piz 78.090 bytes

 


Envío masivo por correo electrónico (Massmailing):

El gusano busca direcciones de correo electrónico en el sistema infectado, dentro de ficheros con una de estas extensiones:

  • pmr
  • stm
  • inbox
  • imb
  • csv
  • bak
  • ihm
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

 

El gusano no se envía a direcciones que contengan cualquiera de estas cadenas:

  • ntp-
  • ntp@
  • office
  • @www
  • @from
  • support
  • redaktion
  • smtp-
  • @smtp.
  • gold-certs
  • ftp.
  • .dial.
  • .ppp.
  • anyone
  • subscribe
  • announce
  • @gmetref
  • sql.
  • someone
  • nothing
  • you@
  • user@
  • reciver@
  • somebody
  • secure
  • msdn.
  • me@
  • whatever@
  • whoever@
  • anywhere
  • yourname
  • mustermann
  • .kundenserver.
  • mailer-daemon
  • variable
  • password
  • noreply
  • -dav
  • law2
  • .sul.t-
  • .qmail@
  • t-ipconnect
  • t-dialin
  • ipt.aol
  • time
  • postmas
  • service
  • freeav
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • bitdefender
  • spybot
  • detection
  • ewido.
  • emisoft
  • linux
  • google
  • @foo.
  • winzip
  • @example.
  • bellcore.
  • @arin
  • mozilla
  • @iana
  • @avp
  • @msn
  • icrosoft
  • @spiegel.
  • @sophos
  • @panda
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon
  • @ikarus
  • @nai.
  • @messagelab
  • nlpmail01.
  • clock
  • sender
  • youremail
  • home.com
  • hotmail.
  • t-online
  • hostmaster
  • webmaster
  • info

 

Síntomas

  • Mensaje de error como el mencionado arriba
  • Tráfico de red SMTP
  • Tráfico de red a puerto TCP37
  • Desktop Firewalls alertando al usuario que una nueva aplicación intenta acceder a Internet


Método de Infección
Un equipo se infecta cuando el usuario pulsa doble-click sobre el fichero adjunto infectado. El gusano no hace uso de ningún exploit para ejecutar el adjunto sin interacción del usuario.



Detección y eliminación
El gusano se controla desde los DAT 4409 , para su eliminación se recomienda ejecutar nuestra utilidad ELISOBEA.


SATINFO, VIRUSCAN SPAIN SERVICE 19 de Noviembre de 2004

Anterior