Virus Sober.G

Efectos:

Sober.G no tiene efectos destructivos. Se limita a propagarse por correo electrónico.

Metodo de infección:

Sober.G crea los siguientes archivos en el directorio de sistema de Windows:

• Crea una copia del gusano con un nombre aleatorio. Dicho nombre está compuesto a partir de palabras de la siguiente lista:
  sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.
  Por ejemplo data32service, win32, runlog, etc.
• WINCHECK32.DATS. Este archivo contiene las direcciones de correo electrónico que el gusano ha recogido en el ordenador afectado.
• DATSOBEX.WWR. Este fichero en formato MIME contiene una copia del gusano.
• XDATXZAP.ZXP. Este fichero en formato MIME contiene una copia del gusano, comprimida en formato ZIP.
• NOSPAM.README. Este archivo de texto contiene el siguiente texto en alemán:
  Hallo liebe Antivirenhersteller und Co.,
  Ich bin kein Spammer und ich verkaufe auch nicht meine eroberten Rechner an Spammer oder sonstiges!
  Ich bin auch in keiner Hacker Szene zu gange, nichts dergleichen!
  Und mein Alter liegt auch nicht zwischen 14 - 20. Ich bin einige Jahre über 30.
  Wollte ich nur mal Klargestellt haben! In diesem Sinne:
  Odin alias AnonE
  Este mensaje está dirigido a los fabricantes de antivirus. En él, su autor deja claro que no es un spammer, que no pertence a la escena hacker, que no vende sus creaciones a otros spammers y que tiene más de 30 años.
• WINEXPODER.DATS. Este archivo contiene las direcciones de posibles receptores del mensaje que envía Sober.G (sólo la parte anterior al carácter @).

• WINZWEIER.DATS, CVQAIKXT.APK, ZHCARXXI.VVX y BCEGFDS.LLL.

Sober.G crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
  %primera_entrada% = %sysdir%\ XXXXXXX.exe %1
• KEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ %nombre clave%
  %segunda_entrada% = %sysdir%\ XXXXXXX.exe
  donde %sysdir% es el directorio de sistema de Windows, XXXXXXX.exe es el nombre aleatorio del fichero del gusano, %nombre clave% es el nombre de una nueva clave de Registro y %primera_entrada% y %segunda_entrada% son nombres aleatorios distintos, compuestos a partir de palabras de la lista mencionada anteriormente.
  Mediante estas entradas, Sober.G consigue ejecutarse cada vez que se inicia Windows.

Metodo de propagación:

Sober.G se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo escrito en inglés o alemán con características variables:
  
  Remitente: oculta la dirección real desde la que es enviado. El dominio del remitente mostrado será alguno de los siguientes:
  bigfoot.com
  google.com
  hotmail.com
  microsoft.com
  t-online.de
  yahoo.com
  
  Asunto: puede estar escrito en inglés o en alemán. Tanto el asunto como el contenido se envían en alemán si la dirección de correo contiene el texto @gmx, o si la extensión del dominio de correo es una de las siguientes: de, ch, at o li.
  Posibles asuntos en inglés:
  #
  Bad Gateway
  Confirmation
  Confirmation Required
  Connection failed
  damn!
  damn!
  DBase Error
  Delivery failure notice
  Details
  error in dbase
  Faulty mail delivery
  Hey
  hey dude!
  hey you
  hi there
  Hi!
  Hi, it's me
  Illegal signs in E-Mail
  Illegal signs in Mail-Routing
  Info
  Information
  Invalid mail length
  Invalid mail sentence length
  Mail delivery failed
  Mail Delivery failure
  mail delivery status
  Mail Error
  Mailing Error
  Message Error
  Oh God it's
  Oh my God
  Registration confirmation
  Sorry, that's your mail
  ups, i've got your mail
  Warning!
  wazzup!!!
  Well, surprise?!
  why do you do that?
  yeah dude :P
  Your document
  Your mail account
  Your Password
  
  Posibles asuntos en alemán:
  Best§tigung
  Datenbank-Fehler
  Einzelheiten
  Fehler
  Fehler in E-Mail
  Fehlerhafte Mailzustellung
  Hallo Du!
  Hallo!
  Hey Du
  Hi, Ich bin's
  Ich bin es .-)
  Ihr neues Passwort
  Ihr Passwort
  Illegale Zeichen in Mail-Routing
  Info
  Information
  ltige Mail-Satzl§nge
  Mailzustellung fehlgeschlagen
  Na, überrascht?!
  Registrierungs-Best§tigung
  Ung
  Verbindung fehlgeschlagen
  Verdammt
  Warnung!
  
  Contenido: puede estar escrito en inglés o alemán.
  Posibles contenidos en inglés:
  I was surprised, too! :-( Who could suspect something like that?
  
  All OK :)
  see, what i've found!
  
  hi its me
  i've found a shity virus on my pc. Check your pc, too!
  follow the steps in this article.
  bye
  
  I 've told you!:-) sometime I grab your passwords!
  
  I hope you accept the result! Follow the instructions to read the message. Please read the document
  
  Registration confirmation
  Confirmation
  Your Password
  Your mail account
  Your password was changed successfully.
  Protected message is attached.
  ++++ Service: http://www.%dominio%
  ++++ Mail To: User-info
  
  *** Auto Mail Delivery System ***
  67.28.114.32_failed_after_I_sent_the_message.
  /Remote_host_said:_554_delivery_error:
  _dd_Sorry_your_message_cannot_be_delivered.
  _This_account_has_been_disabled_or_discontinued
  _[#102]._-_mta134.mail.dcn.com
  ** End of Transmission
  
  The original message is a separate attachment.
  --- Web: http://www.%dominio%
  --- Mail To: UserHelp
  
  Read the attachment for details.
  Bad Gateway: The message has been attached.
  +++ A service of %dominio%
  +++ http://www.%dominio%
  +++ Mail: home
  
  The message has been attached.
  
  Database #Error
  --Partial message is available!
  --Error: llegal signs inMail-Routing
  -- Mail Server: ESMTP VX32.9 Version Betha Alpha
  
  Anybody use your accounts!
  For further details see the attachment.
  
  I have received your document. The corrected document is attached.
  Greets
  
  Adicionalmente, puede incluir tres líneas más. La primera de ellas es variable, y puede ser una de las siguientes:
  ***Mail- Attachment: No suspicious Virus signatures
  ***Mail Scanner: No Virus found
  ***Anti-Virus: No Virus!
  Las otras dos son elementos fijos:
  ***%dominio% Anti Virus
  ***http://www.%dominio%
  donde %dominio% es el dominio de correo del remitente.
  
  Posibles contenidos en alemán:
  Ich war auch ein wenig
  Wer konnte so etwas ahnen!? Lese selbst
  Oh-Mann
  
  Alles klaro bei dir?
  Schau mal was Ich gefunden habe!
  
  Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
  Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
  Bye
  
  Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwõrter
  rauszubekommen!!!
  
  Details entnehmen Sie bitte dem Attachment
  Nõhere Informationen befinden sich im Anhang.
  
  *** Auto Mail Delivery System ***
  Ihre E-Mail konnte nicht gesendet oder empfangen werden.
  Bitte überprü fen Sie nochmals diese E-Mail auf mõgliche Fehlerquellen.
  attach: AMD-System.txt
  * End Transmission
  --- Web: http://www.%dominio%
  --- Mail To: User-Hilfe
  
  Passwort und Benutzername wurde erfolgreich geõndert.
  Ihre Benutzernamen und Passwõrter befinden sich im Anhang dieser E-Mail
  ++++ Im www erreichbar unter: http://www.%dominio%
  ++++ E-Mail: KundenInfo
  
  Wegen eines Datenbank- Fehlers kõnnte es mõglicherweise zu einem Verlust Ihrer persõnlichen Daten wie Kennwõrter gekommen sein. _berprüfen Sie deshalb bitte Ihre Kundendaten.
  Wenn Sie Unregelmõ¯igkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
  Vielen Dank für Ihr Verstõndnis
  +++ Ein Service von
  +++ http://www.%dominio%
  +++ E-Mail: Kundenservice
  
  Internet Provider Abuse:
  Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
  Bitte beachten Sie folgende Liste:
  
  Adicionalmente, incluye una de las siguientes líneas:
  ***Mail- Anhang: Keine verdchtigen Virus- Signaturen gefunden
  ***Mail Scanner: Kein Virus gefunden
  ***Anti- Virus: Es wurde kein Virus erkannt
  
  Fichero adjunto: tiene un nombre variable, y extensión PIF o ZIP:
  Posibles nombres de fichero en inglés: ANITV_TEXT, ATTACH-MESSAGE, CORRECTED_TEXT-FILE, INSTRUCTIONS, MESSAGEDOC, PASS-MESSAGE, TEXT, TEXTDOCUMENT, YOUR_ARTICLE y YOUR_PASSWORDS.
  Además, el nombre puede tener la cadena _ATTACH incluida al final.
  
  Posibles nombres de fichero en alemán: ABUSE-LISTE, AMD-SYSTEM.TXT, ANLEITUNG, ANTIVIRUS-TEXT, BENUTZER-DATEN, DATENBANK-FEHLER, DOKUMENT, DOKUMENTE, KURZTEXT, OH-MANN, PASSWOERTER.TXT, SCHWARZE-LISTEN y TEXT-INHALT.
• Cuando el archivo adjunto es ejecutado, el ordenador quedará afectado.
• Sober.G busca direcciones de correo en ficheros con un tamaño entre 7 y 1700000 Bytes que tengan las siguientes extensiones: ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMH, IMM, INBOX, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
• Sober.G se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.
• Sin embargo, no se envía a ninguna dirección de correo que contenga alguna de las siguientes cadenas de texto:
  .dial., .kundenserver., .ppp., .qmail@, .sul.t-, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @kaspers, @messagelab, @msn, @nai., @panda, @smtp., @sophos, @spiegel., @www, abuse, announce, antivir, anyone, anywhere, bellcore., bitdefender, clock, -dav, detection, domain., emsisoft, ewido., freeav, free-av, ftp., gold-certs, google, host., icrosoft., ipt.aol, law2, linux, mailer-daemon, me@, mozilla, msdn., mustermann@, nlpmail01., nothing, office, password, postmas, reciver@, redaktion, secure, service, smtp-, somebody, someone, spybot, sql., subscribe, support, t-dialin, time, t-ipconnect, user@, variabel, verizon., viren, virus, whatever@, whoever@, winrar, winzip, you@ y yourname.
• Utiliza la siguiente lista de servidores DNS para obtener las direcciones de otros servidores de correo:
  61.8.0.113, 61.95.134.168, 64.41.72.138, 82.195.234.2, 129.187.10.25, 129.187.16.1, 131.174.8.14, 131.243.64.3, 141.40.10.35, 145.253.2.139, 145.253.2.171, 151.201.0.39, 166.60.12.11, 192.35.232.34, 193.193.144.12, 193.193.158.10, 194.25.2.129, 195.112.195.34, 195.182.96.29, 194.209.114.1, 195.185.185.195, 200.74.214.246, 203.162.0.11, 204.70.128.1, 207.69.188.186, 207.217.120.43, 209.235.107.14, 209.253.113.2, 210.66.241.1, 211.167.97.67, 212.5.86.163, 212.7.128.162, 212.7.128.165, 212.71.97.156, 212.242.88.2, 217.5.97.137, 217.116.224.253, 217.237.150.33, 217.237.150.225, 217.237.151.33 y 217.237.151.161.

Otros detalles:

Sober.G está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 49670 Bytes y está comprimido mediante UPX.

Sober.G contiene las siguientes cadenas, encriptadas, en su interior, aunque no son mostradas en ningún momento:

:\\WinsockError.log
doerkggg.exe
Error_Description#
Firewall
home.arcor.de/
home.pages.at/
http://
is blocking one or more System files
Microsoft Winsock# ID#> 083243.V321 (c) by Microsoft
Occurred:#
Odin-Anon.Ger
people.freenet.de/
Possible Reason:
scifi.pages.at/
STOP: 0x10020A2F {Unknown_blocking}
System-File:
was blocked by Firewall.
Winsock Error
Winsock Error Log File
Worm-Sober.D
xcegf45kr