W32/Sober.K. Envía mensajes en inglés o alemán

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

W32/Sober.K. Envía mensajes en inglés o alemán

Compartir

Descripción

nombre: Win32/Sober.K
aliases: W32/Sober.K, Sober.K, W32/Sober-K, [email protected], Email-Worm.Win32.Sober.k, W32/[email protected], W32/[email protected], W32/[email protected], Win32.Sober.K, Win32/Sober.K.Worm
tipo: Gusano de Internet
fecha: 21/02/2005
gravedad general: Alta
distribución: Alta
daño: Medio
tamaño: 51,688 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga en forma masiva por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado. El asunto del mensaje cambia en cada mensaje, puede estar en Ingles o Alemán.


CARACTERISTICAS

El gusano se ejecuta cuando el usuario hace doble clic sobre el adjunto, cuando esto sucede se abre el editor de texto por defecto (por ejemplo el bloc de notas) mostrando basura

Crea copias de si mismo en la siguiente carpeta:

C:\Windows\msagent\win32\csrss.exe
C:\Windows\msagent\win32\smss.exe
C:\Windows\msagent\win32\winlogon.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

También crea los siguientes archivos, los cuáles son utilizados para almacenar la lista de direcciones a las que se envía, y la versión comprimida del gusano en formato MIME para adjuntarse en los mensajes infectados:

C:\Windows\msagent\win32\datamx1.dat
C:\Windows\msagent\win32\datamx2.dat
C:\Windows\msagent\win32\datamx3.dat
C:\Windows\msagent\win32\goto1.dat
C:\Windows\msagent\win32\goto2.dat
C:\Windows\msagent\win32\goto3.dat
C:\Windows\msagent\win32\zippedso1.ber
C:\Windows\msagent\win32\zippedso2.ber
C:\Wndows\msagent\win32\zippedso3.ber


Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
_winsystem.sys = c:\windows\msagent\win32\smss.exe

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
winsystem.sys = c:\windows\msagent\win32\smss.exe


Puede crear un archivo READ.ME conteniendo el siguiente texto:

Ist eine weitere Test-Version.
Lauft nur ein paar Tage!

In diesem Sinne:
Odin alias Anon

Esta versión mantiene tres procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Tres de los archivos copiados en el sistema, se encargan de monitorear esto, y de crear de inmediato una nueva copia. La herramienta de limpieza automática de NOD32 elimina los tres procesos.

El gusano utiliza su propio motor SMTP para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones que contengan alguna de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
[email protected]
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
[email protected]
icrosoft.
[email protected]
ipt.aol
law2
linux
mailer-daemon
mozilla
[email protected]
nlpmail01.
noreply
nothing
ntp-
ntp.
[email protected]
[email protected]
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
[email protected]
time
t-ipconnect
[email protected]
variabel
verizon.
viren
virus
[email protected]
[email protected]
winrar
winzip
[email protected]
yourname

El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.

El gusano envía los mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:

.at
.ch
.de

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Los mensajes que utiliza para enviarse tienen las siguientes caracteristicas:

Mensajes en ingles:

De:[alguna de las siguientes direcciones]

Admin
FBI
hostmaster
[email protected]
[email protected]
Officer
police
postmaster
register
[email protected]
service
Web
webmaster

Asunto:[uno de los siguientes]

Alert! New Sober Worm!
Mail_delivery_failed
Paris Hilton, pure!
You visit illegal websites
Your new Password

Texto del mensaje:[uno de los siguientes]

- Thanks for your registration!
We have received your payment.


For more detailed information, read the attached text.



- This is an automatically generated Delivery
Status Notification.


ESMTP Error []


I"m afraid I wasn"t able to deliver your message.
This is a permanent error; I"ve given up.
Sorry it didn"t work out.


The full mail-text and header is attached




- More than 50 HOT Hilton Videos
More than 3000 Hilton picks


FREE Download until April, 2005


Make your own Download Account, it"s free!
Further details are attached


Thanks & have fun



- ATTENTION!


Antivirus vendors are warning of a new
variant of the Sober
virus discovered today that can delete the hard disk.


Protection:
Download and read the zipped patch. It"s very easy
to install!


Thanks for your cooperation!


--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399



- Dear Sir/Madam,


we have logged your IP-address on more than 40
illegal Websites.


Important: Please answer our questions!
The list of questions are attached.


Yours faithfully,
M. John Stellford


++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ (202) 324-3000

Datos adjuntos:[uno de los siguientes]

header_[###].zip
help-text.zip
indictment_cit.zip
patch_[###].zip
register.zip
register_[###].zip
text.zip
text-[###].zip
text_[###].zip

Donde [###] es un número aleatorio.

El gusano también puede agregar un falso reporte de antivirus a los mensajes infectados:

- Attachment: No Virus found

*-* Anti-Virus Service
*-* http://www.[dominio]

- Mail-Scanner: No Virus detected

*-* Anti-Virus Service
*-* http://www.[dominio]

- AntiVirus: Found to be clean

*-* Anti-Virus Service
*-* http://www.[dominio]


Mensajes en alemán

De:[uno de los siguientes]

Hostmaster
[email protected]
[email protected]
Postmaster
Register
[email protected]
Service
Webmaster

Asunto[uno de los siguientes]

EMail-Empfang fehlgeschlagen
Ihr neues Passwort
Ihr Passwort wurde geaendert
Paris Hilton Nackt!
Paris Hilton SexVideos
Seitensprung gesucht?
Vorsicht! Neuer Sober Wurm!

Texto del mensaje:[uno de los siguientes]

- ## Diese E-Mail wurde automatisch generiert
## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde


---------------


Ihr neues Passwort und weiter Informationen befinden
sich im beigefuegten Dokument.


**** Ein Service von
**** http://www.[dominio]
**** Mail: Help-Line


- Vielen Dank, dass Sie sich bei registriert haben.
Der Betrag von ,- Euro ist erfolgreich auf unserem
Konto eingegangen.
Passwort, Benutzername und weitere wichtige
Informationen zu ihrem neuen Account
befinden sich im angehefteten Dokument.


Hochachtungsvoll
Silvia Hochberger


- - System Mail -


Diese an ihnen gerichtete E-Mail, wurde in einem
falschen Format gesendet.
Der Betreff, Header und Text dieser Mail, wurde deshalb
separat in einer Text-Datei gespeichert und gezippt.


Vielen Dank fuer Ihr Verstaendnis
[System auto- mail]


- Guten Tag,


mehr als 50 Videos,
Mehr als 1000 heisse Fotos
und mehr als 300 original Sounds von der
kleinen Hilton ........ .


Alles frei zum Download, aber nur bis
zum 01 April 2005 !!!


Weitere Details entnehmen Sie bitte dem
vorliegendem Dokument.


Vielen Dank!


- Hallo,
wir hoffen das Ihnen die Betreffszeile unsere
Mail genug sagt.


Der Jugendschutz verbietet uns leider mehr Auskunft
ueber unser Angebot zu geben.
Informationen,,,, wie Sie sich bei uns anmelden koennen
befinden sich im beigefuegten Dokument.


Natuerlich ist die Anmeldung
Kostenlos!


Mehr als 2.5 Millionen registrierte Benutzer!!!
Da ist fuer jeden was dabei!


Auf Wiedersehen


- Wichtige Information!


Eine neue Sober-Variante verbreitet sich derzeit
im Internet.
Wie seine Vorgaenger verschickt sich der Wurm von
infizierten Windows-Rechnern per E-Mail
an weitere Adressen.


Es wird deshalb empfohlen, das Patch-Tool auszufuehren
um sich vor diesem Wurm zu schuetzen bzw. diesen wieder
zu entfernen.


--- (c)2005 Microsoft Corporation. Alle Rechte vorbehalten
--- Vertretungsberechtigter: Juergen Gallmann
--- E-Mail Adresse: [email protected]

Datos adjuntos:[uno de los siguientes]

Formular.zip
Patch-[###].zip
PSW-Text.zip
Register-Info.zip
Tool.zip
zipped-mail.zip
zipped-text.zip

Donde [###] es un número aleatorio.

El gusano también puede agregar un falso reporte de antivirus a los mensajes infectados:

- Anhang Scanner: Kein Virus enthalten

*-* Anti-Virus Service
*-* http://www.[dominio]

- Mail Scanner: Kein Virus gefunden

*-* Anti-Virus Service
*-* http://www.[dominio]

- AntiVirus System: No Virus found

*-* Anti-Virus Service
*-* http://www.[dominio]

Periódicamente, el gusano comprueba la existencia de un determinado archivo. Si existe, el gusano se auto desinstala de memoria. Si el mencionado archivo está presente en la carpeta System (o System32) de Windows antes de existir una infección, entonces el gusano no se instalará en dicho equipo.





INSTRUCCIONES PARA ELIMINARLO

Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "_winsystem.sys", en la siguiente clave del registro:

HKCU\Software\Microsoft\Windows
\CurrentVersion\Run

6. Elimine bajo la columna "Nombre", la entrada "winsystem.sys", en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run

7. Cierre el editor del Registro del sistema.

8. Busque y elimine la siguiente carpeta:

C:Windows\msagent\WIN32

9. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 21-Feb-2005, a las 17:35 Vistas: 680
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
alemán, envia, ingles, mensajes


Temas Similares
» Botnet que envía más de 60 mil millones de mensajes al día 0
» Banwarum.N. Se propaga usando mensajes en alemán 0
» Banwarum.I. Se propaga usando mensajes en alemán 0
» Banwarum.G. Se propaga usando mensajes en alemán 0
» Banwarum.NAB. Se propaga usando mensajes en alemán 0
» Banwarum. Se propaga usando mensajes en alemán 0
» Sober.Y. Utiliza mensajes falsos del FBI y la CIA 0
» Sober.R. Envía correo masivo en inglés o alemán 0
» W32/Sober.P. Envía mensajes en inglés o alemán 0
» VIRUS: W32/Sober.O. Envía mensajes en inglés o alemán 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 04:54.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4