Sober.N Gusano que se propaga masivamente por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado.
El asunto del mensaje cambia en cada mensaje, puede estar en Ingles o Alemán.
Nombre completo: Worm.W32/Sober.N@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 73541
Alias:WORM_SOBER.N (Trend Micro), W32.Sober.N@mm (Symantec), Win32.Sober.M (Computer Associates), Email-Worm.Win32.Sober.o (Kaspersky (viruslist.com)), W32/Sober.o@MM (McAfee), W32/Sober-M (Sophos)
Instalación
El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se abre el editor de texto por defecto (por ejemplo el bloc de notas) mostrando basura
Crea copias de si mismo en la siguiente carpeta:
c:\windows\Config\system\services.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
La carpeta "system" dentro de "\windows\Config\" es creada por el gusano.
También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y los del propio gusano:
C:\Windows\Config\system\maddys.xyz
C:\Windows\Config\system\zipped.wrm
También crea los siguientes archivos, u otros con nombres al azar:
C:\Windows\system32\adcmmmmq.hjg
C:\Windows\system32\langeinf.lin
C:\Windows\system32\nonrunso.ber
C:\Windows\system32\xcvfpokd.tqa
Ocasionalmente puede crear el siguiente archivo de texto:
C:\Documents and Settings\[usuario]\Local Settings\Temp\mail.document.Datex-packed.txt
Donde [usuario] en Windows XP, es el nombre del usuario actual.
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_SystemCheck = c:\windows\Config\system\services.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_SystemCheck = c:\windows\Config\system\services.exe
Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Tres de los archivos copiados en el sistema, se encargan de monitorear esto, y de crear de inmediato una nueva copia.
El gusano utiliza su propio motor SMTP para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes extensiones:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:
-dav
.dial.
.ppp.
.qmail@
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
host.
icrosoft.
law2
linux
mailer-daemon
mustermann@
nlpmail01.
noreply
nothing
reciver@
secure
smtp-
somebody
someone
spybot
sql.
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
Intenta terminar cualquier proceso que contenga alguna de las siguientes cadenas:
asw*.tmp
chp*.tmp
mrt.exe
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Asunto: I"ve_got your EMail on my_account!
Texto:
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It"s probably an e-mail provider error!
At time, I"ve got over 10 mails on my account, but the
recipient are you.
I have copied all the mail text in the windows
text-editor for you & zipped then.
Make sure, that this mails don"t come in my mail-box
again.
bye
Adjuntos: your_text.zip
Mensaje en alemán:
Asunto: FwD: Ich bin"s nochmal
Texto:
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde
mich dann zu Tode blamieren!
Ich melde mich.
Bis bald
Adjuntos: Private-Texte.zip
El archivo .ZIP contiene el ejecutable del gusano.
Ejemplo:
mail.document.Datex-packed.exe
Cuando se ejecuta abre el editor de texto mostrando un mensaje falso:
UnPack failed
fvzqztgjqfq}pmlbbglfoqrehrtsutqwfyhjwlzxuzajkckiphwnemk
fvzqztgjqfq}pmlbbglfoqrehrtsutqwfyhjwlzxuzajkckiphwnemk
fvzqztgjqfq}pmlbbglfoqrehrtsutqwfyhjwlzxuzajkckiphwnemk
fvzqztgjqfq}pmlbbglfoqrehrtsutqwfyhjwlzxuzajkckiphwnemk
[etc...]
Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.
Reparación: Desactive restaurar sistema
Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC.
Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
C:\Windows\Config\system\maddys.xyz
C:\Windows\Config\system\zipped.wrm
C:\Windows\system32\adcmmmmq.hjg
C:\Windows\system32\langeinf.lin
C:\Windows\system32\nonrunso.ber
C:\Windows\system32\xcvfpokd.tqa
C:\Documents and Settings\[usuario]\Local Settings\Temp\mail.document.Datex-packed.txt
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine "_SystemCheck", de las siguientes entradas del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4930
