W32/Sober.N

W32/Sober.N@MM

Nombre:	W32/Sober.N@MM Alias: W32.Sober.N@mm
Tipo:	Gusano de E-mail
Tamaño:	variable
Origen:	Internet
Destructivo:	SI
En la calle (in the wild):	SI
Detección y Eliminación	The Hacker 5.7, Registro de Virus al 31/03/2005

Descripción

W32/Sober.N@MM, es un gusano que se transmite a través de E-mail utilizando su propio motor SMTP. Los asuntos son variables y pueden estar en Ingles o Alemán. Busca direcciones de E-mail en archivos con las siguientes extensiones .avi, .bat, .cmd, .com, .exe, .fdb, .frm, .jpg, .jpeg, .msi, .mp3, .mp4, mpg, .mpeg, .pif, .png, y .scr.

Si el gusano encuentra alguna dirección de E-mail que este compuesto por alguno de los siguientes textos, el E-mail que le enviará estará en el idioma alemán

@gmx
@web
@arcor
@freenet

Cuando el gusano se ejecuta muestra el siguiente falso mensaje de error:

Winsock 2.0 Error
STOP:0x10020AF {Unknown_blocking}
Possible Reason: Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on: C:\WinsockError_log.txt

Crea el archivo C:\WinsockError_log.txt, el cual contiene logs de falsos errores.

Seguidamente el gusano se copia a si mismo dentro de:

%windows%\addins\explorer\csrss.exe
%system%\[nombre aleatorio].exe
%Temp%\_[el mismo nombre de archivo aleatorio].exe

También copia los siguientes archivos dentro de:

%windows%\addins\explorer\infectok.iok
%windows%\addins\explorer\jjfggggr.oou [contiene las direcciones de E-mail encontradas en el computador]
%system%\nonrunso.ber
%system%\adcmmmmq.hjg
%system%\xcvfpokd.tqa
%system%\stopruns.zhz

Nota:

%windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
" SystemDriver"="%windows%\addins\explorer\csrss.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"_SystemDriver"="%windows%\addins\explorer\csrss.exe"

También se registrará como un servicio de nombre "wscsvc"

Para verificar la conexión a Internet el gusano intentará conectarse a los siguientes dominios:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Seguidamente intentará descargar un archivo de los siguientes dominios:

home.arcor.de
people.freenet.de
free.pages.at
scifi.pages.at
home.pages.at

Intentará terminar los procesos que contengan en su nombre una de los siguientes textos:

gcip
giantanti
stinger
hijack
sober
rclean

Finalmente si la computadora atacada no tiene activa una conexión a Internet, el gusano intentará marcar alguna conexión Dial-up disponible.