publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Sober.F

Virus Sober.F

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad baja Propagación Propagación baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Sober.F no tiene efectos destructivos. Se limita a propagarse por correo electrónico.

Metodo de infección:

Sober.F crea los siguientes ficheros en el directorio de sistema de Windows:

  • Crea una copia del gusano con un nombre aleatorio. Dicho nombre está compuesto a partir de palabras de la siguiente lista:
    sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.
    Por ejemplo data32service, win32, runlog, etc.
  • SYST32WIN.DLL y SPOOFED_RECIPS.OCX. Estos ficheros contienen las direcciones de correo electrónico que el gusano ha recogido en el ordenador afectado.
  • WINHEX32XX.WRM. Este fichero en formato MIME contiene una copia del gusano.
  • WINSYS32XX.ZZP. Este fichero en formato MIME contiene una copia del gusano, comprimida en formato ZIP.
  • ZMNDGWF.KXX, ZHCARXXI.VVX y BCEGFDS.LLL.

Sober.F crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
    %primera_entrada% = %sysdir%\ XXXXXXX.exe %1
  • KEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ %nombre clave%
    %segunda_entrada% = %sysdir%\ XXXXXXX.exe
    donde %sysdir% es el directorio de sistema de Windows, XXXXXXX.exe es el nombre aleatorio del fichero del gusano, %nombre clave% es el nombre de una nueva clave de Registro y %primera_entrada% y %segunda_entrada% son nombres aleatorios distintos, compuestos a partir de palabras de la lista mencionada anteriormente.
    Mediante estas entradas, Sober.F consigue ejecutarse cada vez que se inicia Windows.

Metodo de propagación:

Sober.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje de correo escrito en inglés o alemán con características variables. El mensaje de correo se envía en alemán si la dirección de correo contiene el texto @gmx, o si la extensión del dominio de correo es una de las siguientes: de, ch, at o li.

    Remitente: oculta la dirección real desde la que es enviado.

    Asunto: puede estar escrito en inglés o en alemán.
    Posibles asuntos en inglés:
    Bad Gateway
    Confirmation Required
    Connection failed
    damn!
    Details
    Faulty mail delivery
    Hey
    hey you
    Hi!
    Hi, it's me
    Illegal signs in Mail-Routing
    Info
    Information
    Invalid mail sentence length
    Mail delivery failed
    Mail Delivery failure
    mail delivery status
    Mail Error
    Message Error
    Oh my God
    Warning!
    Well, surprise?!
    Your document

    Posibles asuntos en alemán:
    Best§tigung
    Datenbank-Fehler
    Einzelheiten
    Fehler
    Fehler in E-Mail
    Fehlerhafte Mailzustellung
    Hallo Du!
    Hallo!
    Hey Du
    Hi, Ich bin's
    Ich bin es .-)
    Ihr neues Passwort
    Ihr Passwort
    Illegale Zeichen in Mail-Routing
    Info
    Information
    ltige Mail-Satzl§nge
    Mailzustellung fehlgeschlagen
    Na, überrascht?!
    Registrierungs-Best§tigung
    Ung
    Verbindung fehlgeschlagen
    Verdammt
    Warnung!

    Contenido: puede estar escrito en inglés o alemán.
    Posibles contenidos en inglés:
    I was surprised, too! :-( Who could suspect something like that?

    All OK :)
    see, what i've found!

    hi its me
    i've found a shity virus on my pc. Check your pc, too!
    follow the steps in this article.
    bye

    I 've told you!:-) sometime I grab your passwords!
    I hope you accept the result! Follow the instructions to read the message. Please read the document

    Registration confirmation
    Confirmation
    Your Password
    Your mail account
    Your password was changed successfully.
    Protected message is attached    .
    ++++ Service: http://www. %dominio%
    ++++ Mail To: User-info

    *** Auto Mail Delivery System ***
    67.28.114.32_failed_after_I_sent_the_message.
    /Remote_host_said:_554_delivery_error:
    _dd_Sorry_your_message_cannot_be_delivered.
    _This_account_has_been_disabled_or_discontinued
    _[#102]._-_mta134.mail.dcn.com
    ** End of Transmission

    The original message is a separate attachment.
    --- Web: http://www.     %dominio%
    --- Mail To: UserHelp

    Read the attachment for details.
    Bad Gateway: The message has been attached.

    +++ A service of %dominio%
    +++ http://www. %dominio%
    +++ Mail: home

    The message has been attached.

    Database #Error
    --Partial message is available!
    --Error: llegal signs inMail-Routing
    -- Mail Server: ESMTP VX32.9 Version Betha Alpha

    Anybody use your accounts!
    For further details see the attachment.

    I have received your document. The corrected document is attached.
    Greets

    Adicionalmente, puede incluir tres líneas. La primera es variable, pudiendo ser cualquiera de las siguientes:
    ***Mail- Attachment: No suspicious Virus signatures
    ***Mail Scanner: No Virus found
    ***Anti-Virus: No Virus!
    Las dos siguientes son:
    ***%dominio%Anti Virus
    ***http://www.    %dominio%

    Posibles contenidos en alemán:
    Ich war auch ein wenig
    Wer konnte so etwas ahnen!? Lese selbst
    Oh-Mann

    Alles klaro bei dir?
    Schau mal was Ich gefunden habe!

    Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
    Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
    Bye

    Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwõrter rauszubekommen!!!

    Details entnehmen Sie bitte dem Attachment
    Nõhere Informationen befinden sich im Anhang.

    *** Auto Mail Delivery System ***
    Ihre E-Mail konnte nicht gesendet oder empfangen werden.
    Bitte überprü fen Sie nochmals diese E-Mail auf mõgliche Fehlerquellen.
    attach: AMD-System.txt
    * End Transmission
    --- Web: http://www.    %dominio%
    --- Mail To: User-Hilfe

    Passwort und Benutzername wurde erfolgreich geõndert.
    Ihre Benutzernamen und Passwõrter befinden sich im Anhang dieser E-Mail
    ++++ Im www erreichbar unter: http://www.     %dominio%
    ++++ E-Mail: KundenInfo

    Wegen eines Datenbank- Fehlers kõnnte es mõglicherweise zu einem Verlust Ihrer persõnlichen Daten wie Kennwõrter gekommen sein. _berprüfen Sie deshalb bitte Ihre Kundendaten.
    Wenn Sie Unregelmõ¯igkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
    Vielen Dank für Ihr Verstõndnis
    +++ Ein Service von
    +++ http://www.     %dominio%
    +++ E-Mail: Kundenservice

    Internet Provider Abuse:
    Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
    Bitte beachten Sie folgende Liste:

    Adicionalmente, puede incluir alguna de estas tres líneas:
    ***Mail- Anhang: Keine verdchtigen Virus- Signaturen gefunden
    ***Mail Scanner: Kein Virus gefunden
    ***Anti- Virus: Es wurde kein Virus erkannt

    En todos los casos %dominio% se refiere al dominio del remitente, y puede ser cualquiera de los siguientes: yahoo.com, yahoo.de, gmx.de, gmx.net, web.de, freenet.de o lycos.de.


    Archivos adjuntos: puede estar escrito en inglés o alemán.
    Posibles archivos adjuntos en inglés:
    Posibles nombres: ANITV_TEXT, ATTACH-MESSAGE, CORRECTED_TEXT-FILE, INSTRUCTIONS, MESSAGEDOC, PASS-MESSAGE, TEXT, TEXTDOCUMENT, YOUR_ARTICLE y YOUR_PASSWORDS.
    Adicionalmente, el nombre puede incluir antes de la extensión la cadena de texto  _attach.
    Posibles extensiones: PIF o ZIP.

    Posibles archivos adjuntos en alemán:
    Posibles nombres: ABUSE-LISTE, AMD-SYSTEM.TXT, ANLEITUNG, ANTIVIRUS-TEXT, BENUTZER-DATEN, DATENBANK-FEHLER, DOKUMENT, DOKUMENTE, KURZTEXT, OH-MANN, PASSWOERTER.TXT, SCHWARZE-LISTEN y TEXT-INHALT.
    Posibles extensiones: PIF o ZIP.
  • Una vez que el usuario ejecuta el fichero, el ordenador queda afectado.
  • Sober.F busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAS, CFG, CGI, CLS, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF , MSG, NAB, NCH, NFO , NSF, ODS, OFT, PHP, PL, PP, PPT, PST, RTF, SHTML, SLN, TBB, TXT, UIN, VAP, VBS, WAB, WSH, XLS, XML. Crea los archivos SIST32WIN.DLL y SPOFED_RECIPS.OCX para guardar todas las direcciones que encuentre.
  • Sober.F se envía a sí mismo a todas las direcciones que ha recogido. Para ello, utiliza su propio motor SMTP.
  • Sober.F no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto: @arin, @avp, @ca., @foo., @iana, @ikarus., @kaspers, @messagelab, @msn, @nai., @ntp., @panda, @sophos, abuse, antivir, clock, domain., emsisoft, ewido., freeav, free-av, google, host., linux, mailer-daemon, microsoft., mozilla, ntp-, ntp@, office, password, postmas, redaktion, service, support, symant, time, variabel, verizon., viren, virus, winrar, winzip.

Otros detalles:

Sober.F está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 42496 Bytes y está comprimido mediante UPX modificado.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork