NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nueva variante de gusano w32/Sober de propagación media

Nombre de virus: W32/Sober.r@mm
Alias conocidos: I-Worm.Sober.U, W32.Sober.Q@mm, W32/Sober-O, W32/Sober.r@MM!M-151, W32/Sober.R@mm (Frisk), Win32.Sober.S@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: A través de correo electrónico
Activación: Por ejecución de fichero .EXE incluido en el zip adjunto al mensaje
Detección: desde DATS 4598
Motor necesario: desde 4.4.00
Infección actual: Inicial (Inicial, Media, Elevada)

W32/Sober.r@mm es un gusano mass-mailing, que llega en un mensaje de email con uno de los siguientes nombres de adjunto:

  • KlassenFoto.zip
  • pword_change.zip

El fichero ZIP incluye un fichero de nombre PW_Klass.Pic.packed-bitmap.exe.

Al igual que otras muchas variantes de Sober, esta utiliza diferentes mensajes aleatorios, ya sea en inglés o alemán, dependiendo de la versión de Windows.

Ejemplo de mensaje aleatorio generado en alemán:

Asunto : Fwd: Klassentreffen
Mensaje:

ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehngt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

liebe gr
Rita,


Ejemplo de mensaje aleatorio generado en inglés:

Asunto: Your new Password
Mensaje: Your password was successfully changed! Please see the attached file for detailed information.

Síntomas

Cuando se extrae el archivo ZIP y se ejecuta manualmente el fichero que contiene, el virus puede mostrar un falso mensaje de error.

El gusano se copia en un nuevo directorio creado en WINDOWS, y genera claves en el registro para cargarse al inicio del sistema.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run " WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe

 

Crea los siguientes ficheros:

  • c:\WINDOWS\ConnectionStatus\netslot.nst
  • c:\WINDOWS\ConnectionStatus\services.exe
  • c:\WINDOWS\ConnectionStatus\socket.dli

 

También genera los siguientes ficheros de tamaño cero

  • c:\WINDOWS\system32\bbvmwxxf.hml
  • c:\WINDOWS\system32\gdfjgthv.cvq
  • c:\WINDOWS\system32\langeinf.lin
  • c:\WINDOWS\system32\nonrunso.ber
  • c:\WINDOWS\system32\rubezahl.rub
  • c:\WINDOWS\system32\seppelmx.smx

 

Método de infección

El gusano propaga a través de correo electrónico. Se envía a direcciones de email, recopiladas de ficheros que contengan las siguientes extensiones:

  • abc
  • abd
  • abx
  • adb
  • ade
  • adp
  • adr
  • aero
  • asp
  • bak
  • bas
  • cfg
  • cgi
  • cls
  • cms
  • com
  • coop
  • csv
  • ctl
  • dbx
  • dhtm
  • doc
  • dsp
  • dsw
  • edu
  • eml
  • fdb
  • frm
  • gov
  • hlp
  • imb
  • imh
  • imh
  • imm
  • inbox
  • info
  • ini
  • int
  • jsp
  • ldb
  • ldif
  • log
  • mbx
  • mda
  • mdb
  • mde
  • mdw
  • mdx
  • mht
  • mmf
  • msg
  • museum
  • nab
  • name
  • nch
  • net
  • nfo
  • nsf
  • nws
  • ods
  • oft
  • org
  • php
  • phtm
  • pl
  • pmr
  • pp
  • ppt
  • pro
  • pst
  • rtf
  • shtml
  • slk
  • sln
  • stm
  • tbb
  • txt
  • uin
  • vap
  • vbs
  • vcf
  • wab
  • wsh
  • xhtml
  • xls
  • xml

 

Detección y eliminación

El gusano se controla desde los DAT 4598, para su eliminación se recomienda ejecutar nuestra utilidad ELISOBEA. Previo a ejecutar la utilidad, recomendamos reiniciar el sistema en 'modo seguro'.


SATINFO, VIRUSCAN SPAIN SERVICE 06 de Octubre de 2005

Anterior