VIRUS: *WIN32/SOBER.L

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS: *WIN32/SOBER.L

Compartir

DESCRIPCION

nombre: Win32/Sober.L
aliases: BACKDOOR.Trojan, Email-Worm.Win32.Sober.l, I-Worm/Sober.M, [email protected], [email protected], W32/[email protected], W32/[email protected], W32/Sober.O.worm, W32/Sober-L, Win32.HLLM.Generic.328, [email protected], Worm/Sober.L, WORM_SOBER.L
tipo: Gusano de Internet
fecha: 07/03/2005
gravedad general: Alta
distribución: Alta
daño: Medio
tamaño: 45,222 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga en forma masiva por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado. El asunto del mensaje cambia en cada mensaje, puede estar en Ingles o Alemán.

CARACTERISTICAS

El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se abre el editor de texto por defecto (por ejemplo el bloc de notas) mostrando basura

Crea copias de si mismo en la siguiente carpeta:

C:\Windows\msagent\system\smss.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y los del propio gusano:

C:\Windows\System\nonrunso.ber
C:\Windows\System\read.me
C:\Windows\System\stopruns.zhz
C:\Windows\System\xcvfpokd.tqa
C:\Windows\msagent\system\emdata.mmx
C:\Windows\msagent\system\zipzip.zab

El archivo "read.me" contiene el siguiente texto:

test test test

In diesem Sinne:
Odin alias Anon

Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
_Services.dll = c:\windows\msagent\system\smss.exe

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
_Services.dll = c:\windows%\msagent\system\smss.exe

Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Tres de los archivos copiados en el sistema, se encargan de monitorear esto, y de crear de inmediato una nueva copia. La herramienta de limpieza automática de NOD32 elimina los tres procesos.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qm[email protected]
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
[email protected]
nlpmail01.
noreply
nothing
ntp-
ntp.
[email protected]
office
password
postmas
[email protected]
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
[email protected]
time
t-ipconnect
[email protected]
variabel
verizon.
viren
virus
[email protected]
[email protected]
winrar
winzip
[email protected]
yourname

Intenta terminar cualquier proceso que contenga alguna de las siguientes cadenas:

gcas
gcip
giantanti
hijackthis
stinger

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes características:

Mensaje en ingles:

Asunto: Your Password & Account number

Texto del mensaje:

i"ve got an admin mail with a Password and Account info!
but the mail recipient are you! it"s probably an esmtp
error, i think.
i"ve copied the full mail text in the Windows
text-editor & zipped.
ok, cya...

Datos adjuntos: acc_text.zip

Mensaje en alemán

Asunto: Ich habe Ihre E-Mail bekommen!

Texto del mensaje:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor
kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist,
sorge dafuer das diese
Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.

Gruss

Datos adjuntos: MailTexte.zip

Este gusano está programado en Visual Basic 6.0 y comprimido con UPX.

INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "_Services.dll", en las siguientes claves del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Busque y elimine la siguiente carpeta:

C:\Windows\msagent\system

8. Busque y elimine los siguientes archivo:

C:\Windows\System\nonrunso.ber
C:\Windows\System\read.me
C:\Windows\System\stopruns.zhz
C:\Windows\System\xcvfpokd.tqa
C:\Windows\msagent\system\emdata.mmx
C:\Windows\msagent\system\zipzip.zab

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 07-Mar-2005, a las 18:33 Vistas: 549
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS: *WIN32/DIRE.C 0
» El virus Sober.P se ha suicidado 0
» VIRUS: W32/Sober.O. Envía mensajes en inglés o alemán 0
» VIRUS: WIN32/VB.NAS 0
» VIRUS: WIN32/VB.CZ 0
» El virus Sober.N se extiende rápidamente 0
» VIRUS:  WIN32/SOBER.M 0
» VIRUS: *WIN32/BROPIA.P 0
» VIRUS: *WIN32/VB.NBO 0
» VIRUS: *WIN32/LOONY.L 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 13:27.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4