| W32/Sober.P@MM |
|
| Nombre: | W32/Sober.P@MM Alias: W32/Sober.p@MM, W32/Sober-N, WORM_SOBER.S, W32.Sober.O@mm |
| Tipo: | Gusano de E-mail |
| Tamaño: | 53,727 Bytes (comprimido) 53,554 Bytes (ejecutable) |
| Origen: | Internet |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
| Detección y Eliminación |
The Hacker 5.7, Registro de Virus v00197 al 02/05/2005 |
Descripción
W32/Sober.P@MM, es un gusano que se transmite a través de E-mail utilizando su propio motor SMTP. Los asuntos son variables y pueden estar en Ingles o Alemán. Busca direcciones de E-mail en archivos con las siguientes extensiones .abc, .abd, .abx, .adb, .ade, .adp, .adr, .asp, .bak, .bas, .cfg, .cgi, .cls, .cms, .csv, .ctl, .dbx, .dhtm, .doc, .dsp, .dsw, .eml, .fdb, .frm, .hlp, .imb, .imh, .imh, .imm, .inbox, .ini, .jsp, .ldb, .ldif, .log, .mbx, .mda, .mdb, .mde, .mdw, .mdx, .mht, .mmf, .msg, .nab, .nch, .nfo, .nsf, .nws, .ods, .oft, .php, .phtm, .pl, .pmr, .pp, .ppt, .pst, .rtf, .shtml, .slk, .sln, .stm, .tbb, .txt, .uin, .vap, .vbs, .vcf, .wab, .wsh, .xhtml, .xls, .xml
El gusano evitara enviarse a direcciones que estén compuesto por alguno de los siguientes textos:
|
|
Características del mensaje de E-mail:
Asunto: [Variable, alguno de los siguientes]
• Glueckwunsch: Ihr WM Ticket
• Ich bin's, was zum lachen ;)
• Ihr Passwort
• Ihre E-Mail wurde verweigert
• Mail-Fehler!*
• WM Ticket Verlosung*WM-Ticket-Auslosung
• Re:
• Your Password
• Registration Confirmation
• Your email was blocked
• mailing error
Cuerpo: [variable]
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.
*-* MailTo: PasswordHelp
----------------------------
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.
---------------------------
Account and Password Information are attached!
Visit: http://www. {Dominio}
*** AntiVirus: No Virus found
*** "{Dominio destinatario} " Anti-Virus
*** http://www. {recipiente del destinatario}
--------------------------
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Archivo Adjunto: El gusano puede utilizar la extensión .pif o .zip:
Cuando el gusano se ejecuta muestra el siguiente falso mensaje de error:
WinZip Self-Extractor
Error: CRC not complete
[ OK ]
Seguidamente el gusano se copia a si mismo dentro de:
%windows%\Connection Wizard\Status\csrss.exe
%windows%\Connection Wizard\Status\services.exe
%windows%\Connection Wizard\Status\smss.exe
También copia los siguientes archivos dentro de:
Nota:
%windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)
Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"
WinStart"="%windows%\Connection Wizard\Status\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"_WinStart"="%windows%\Connection
Wizard\Status\services.exe"
Finalmente el gusano intentará contactarse a diferentes servidores de Tiempo, a través del puerto TCP 37:
cuckoo.neveda.edu
ntp.lth.se
ntp.massayonet.com.br
ntp.pads.ufrj.br
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
rolex.peachnet.edu
rolex.usg.edu
sundial.columbia.edu
tim.kfki.hu
time.nist.gov
time.windows.com
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time-ext.missouri.edu
timelord.ureqina.ca
time-server.ndo.com
utcnist.colorado.edu
Derechos reservados 1992/2005 HackSoft S.R.L. Lima-Perú