publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Sober.A

Virus Sober.A

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación media Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Sober.A no produce efectos destructivos en el ordenador afectado. Su principal objetivo es propagarse a otros ordenadores.

Una vez es ejecutado, muestra el siguiente mensaje de error falso en pantalla:

Metodo de infección:

Sober.A crea los siguientes ficheros en el directorio de sistema de Windows:

  • FILEXE.EXE, DRIVER.EXESIMILARE.EXE. Estos ficheros son copias del gusano. Sober.A se asegura de que al menos dos de estas tres copias del gusano se encuentren en ejecución al mismo tiempo. De este modo, si uno de los procesos asociados es terminado o alguno de los ficheros es borrado, la otra copia se encargará de regenerarlo.
  • MEDIA.DLL en la subcarpeta MACROMED\HELP. Este fichero contiene las direcciones de correo electrónico a las que se enviará el gusano.

Sober.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    "%nombre entrada" = %sysdir%\%nombre fichero%
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    "%nombre entrada" = %sysdir%\%nombre fichero%
    donde %nombre entrada% es el nombre variable de la entrada creada, %sysdir% es el directorio de sistema de Windows, y %nombre fichero% es el nombre de una de las tres copias del gusano.
    Mediante estas entradas, Sober.A consigue ejecutarse cada vez que se inicia Windows.

Metodo de propagación:

Sober.A se propaga a través del correo electrónico en un mensaje escrito en inglés o alemán. Para ello, realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje con características variables. Los números y direcciones incluidos en el mensaje pueden variar.
    Sober.A falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.


    Mensaje 1:
    Asunto:
    A worm is on your computer!
    Contenido:
    I permanently get Spam-Mails from you and inside is a virus!! You should remove these thing. Read the document, before another or my mailbox explode!
    Yours sincerely.
    Fichero adjunto:
    ANTI_VIRUSDOC.PIF

    Mensaje 2:
    Asunto:
    Advise who I am!
    Contenido:
    I have a new fake mail name! This was not my idea! You'll never check who I am!! That's toooooo hard for you... De-Crypt the picture mystery and ...
    Fichero adjunto:
    PIC.SCR

    Mensaje 3:
    Asunto:
    Back At The Funny Farm
    Contenido:
    yea yea yea
    Fichero adjunto:
    FUNNY.SCR

    Mensaje 4:
    Asunto:
    Be careful! New mail worm
    Contenido:
    Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm. He calls itself "ODIN" and he is very variable! The worm hides in the screen saver. Read the -screen_doc- documentation and you will be able to find and kill this virus!
    Robot<Transmission> %5184557%
    Fichero adjunto:
    SCREEN_DOC

    Mensaje 5:
    Asunto:
    Be careful! New mail worm
    Contenido:
    Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm. He calls itself "ODIN" and he is very variable! This mail was spread with this Worm, too. BUT, the attachement is a AntiVirus!! Norton and Kaspersky Lab has create this bomb.
    You should use the <RemovalTool> to check and kill this thing.
    Message<ID>: #84627762
    Fichero adjunto:
    SCRREMOVAL-TOOL.EXE

    Si quiere comprobar los otros posibles mensajes de correo a través de los cuales se propaga Sober.A, pulse aquí.
  • Una vez que el usuario ejecuta el fichero, el ordenador queda afectado.
  • Sober.A busca direcciones de correo electrónico en ficheros con las siguientes extensionesHTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, ASP, SHTML, SHTM, DBX, HLP, MHT y NFO. Crea el fichero MEDIA.DLL para guardar todas las direcciones que encuentre.
  • Sober.A se envía a sí mismo a todas las direcciones que ha recogido. Para ello, utiliza su propio motor SMTP.

Por otra parte, PandaLabs ha constatado que el gusano Sober.A puede llegar comprimido en un formato MIME dañado (resultando no ejecutable), debido a problemas con su propagación a través del correo electrónico. En este estado, Sober.A no es detectado por Panda Antivirus. Sin embargo, el sistema residente de detección de Panda Antivirus detectará y eliminará el gusano Sober.A en caso de que éste llegara a ser descomprimido.

Otros detalles:

Sober.A ha sido escrito en el lenguaje de programación Visual Basic. El gusano tiene un tamaño de 63488 Bytes cuando se encuentra comprimido mediante UPX modificado.
 
El tamaño puede ser mayor, ya que en ocasiones el gusano añade una sección de código sin efectos al final de su fichero.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork