publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Sober.I

Virus Sober.I

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación media Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Sober.I no tiene efectos destructivos. Su único objetivo es propagarse.

Metodo de infección:

Sober.I crea los siguientes archivos en el directorio de sistema de Windows:

  • Dos componentes adicionales del gusano, que tendrán un nombre aleatorio compuesto a partir de palabras de la siguiente lista:
    sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.
    Por ejemplo: logsys.exe, syssmss32.exe, data32service, win32, runlog, etc.
  • CLONZIPS.SSC y ZIPPEDSR.PIZ. Estos archivos en formato MIME son copias del gusano, comprimidas en formato ZIP.
  • CLSOBERN.ISC y NONZIPSR.NOZ. Estos archivos son copias del gusano en formato MIME.
  • WINROOT64.DAL, WINSEND32.DAL, WINMPROT.DAL y WINEXERUN.DAL. Estos archivos contienen direcciones de correo electrónico a las que Sober.I enviará una copia de sí mismo.
  • CVQAIKXT.APK, DGSSXY.YOI, ODIN-ANON.GER, SYSMMS32.LLA y SB2RUN.DII. El tamaño de estos archivos es 0 Bytes, generalmente.

Sober.I crea las siguientes entradas en las siguientes rutas del Registro de Windows:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Los nombres y valores de la entrada tienen las siguientes estructuras:

  • %entrada% = %sysdir%\ %archivo1% %srun%
  • %entrada% = %sysdir%\ %archivo2%
    donde %sysdir% es el directorio de sistema de Windows, %entrada% es un nombre aleatorio, creado a partir de la lista indicada anteriormente, y distinto para cada entrada, y %archivo1% y %archivo2% son los nombres aleatorios de los componentes adicionales del gusano.
    Mediante estas entradas, Sober.I consigue que sus dos componentes adicionales sean ejecutados cada vez que Windows se inicia.

Nota: A título puramente descriptivo, a continuación se indican algunos posibles ejemplos de entradas creadas:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    cryptx = %sysdir%\Syssmss32.exe %srun%
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winspool = %sysdir%\logsys.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    cryptlogx = %sysdir%\Syssmss32.exe %srun%
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service = %sysdir%\logsys.exe

Metodo de propagación:

Sober.I se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo escrito en inglés o alemán.

    Asunto: puede estar escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la dirección de correo contiene la cadena de texto @gmx o si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).


    Notas preliminares:
    Todos los asuntos pueden tener componentes adicionales:
    - Posibles prefijos: Fwd:, Re:.
    - Posibles sufijos: una de estas cadenas: Error_:, Smtp:, Esmtp:, seguidas de un número aleatorio de 4 cifras.
    Los archivos adjuntos pueden llegar comprimidos en un archivo ZIP.

    MENSAJE INGLÉS 1:
    Asunto:
    Confirmation
    Registration confirmation
    Your mail password
    Your Password

    Mensaje: es variable, y consiste en partes variables y elementos fijos:
    1) Una de estas frases:
    Protected message is attached!
    Your password was changed successfully!
    2) Elemento fijo (dos líneas):
    ++++++ User-Service: http://www.%dominio de correo del remitente%
    ++++++ MailTo: postmaster@sysinternals.com
    3) (Opcional) Tres líneas:
    *-*-* Attachment: No Virus found
    *-*-* %dominio de correo del destinatario%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del destinatario%

    Archivo adjunto: se compone del siguiente modo:
    %dominio de correo del destinatario% + Opcional número de 4 cifras + Primera extensión + Segunda extensión
    Posibles primeras extensiones: DOC, EML, TXT, WORD, XLS.
    Posibles segundas extensiones: BAT, COM, PIF, SCR.
    Por ejemplo: HOTMAIL3587.TXT.COM, YAHOO.XLS.SCR, etc.

    MENSAJE INGLÉS 2:
    Asunto: uno de los siguientes:
    Delivery_failure_notice
    Faulty_mail delivery
    illegal signs in your mail
    invalid mail
    mail delivery system
    Mail delivery_failed
    Mail Error
    Mail_Delivery_failure

    Contenido: hasta tres contenidos distintos, cada uno de ellos variable:
    Primer contenido:
    This mail was generated automatically.
    More info about --%dominio del remitente sin extensión y en mayúsculas%-- under: http://www.%dominio de correo del remitente%

    Segundo contenido: consiste en partes variables y elementos fijos:
    1) Elemento fijo:
    Occured_Errors:
    2) Una de estas frases:
    %IP aleatoria% _failed_after_I_sent_the_message.
    %IP aleatoria% _does_not_like_recipient.
    %IP aleatoria% _does_not_like_sender.
    3) (Opcional) Hasta 5 de las siguientes frases, en cualquier orden:
    # %Número de 3 cifras%: Giving_up_on_%IP aleatoria%
    # %Número de 3 cifras%: mailbox_unavailable
    # %Número de 3 cifras%: This_account_has_been_disabled_[#%Número de 3 cifras%].
    # %Número de 3 cifras%: This_account_has_been_discontinued_[#%Número de 3 cifras%].
    # %Número de 3 cifras%: Remote_host_said: _Requested_action_not_taken
    # %Número de 3 cifras%: Remote_host_said: _delivery_error
    # %Número de 3 cifras%: MAILBOX NOT FOUND
    4) Elemento fijo:
    End

    Tercer contenido:
    1) Elemento fijo:
    The corrected mail is attached.
    Auto_Mail.System: [%dominio de correo del remitente sin extensión%]
    2) (Opcional) Una de las siguientes frases:
    *-*-* Mail_Scanner: No Virus
    *-*-* Attachment: No Virus found
    3) (Opcional) El siguiente texto:
    *-*-* %dominio de correo del remitente sin extensión y en mayúsculas%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del remitente%

    Archivo adjunto:
    Opcional dominio del remitente + elemento de la lista1 + Opcional número de 4 cifras + Primera extensión + Segunda extensión
    donde lista1 es: Re_mail, Auto_mail o Mail.
    Posibles primeras extensiones: DOC, EML, TXT, WORD, XLS.
    Posibles segundas extensiones: BAT, COM, PIF, SCR.
    Por ejemplo: HOTMAILRE_MAIL.DOC.PIF, AUTO_MAIL5896.WORD.COM, etc.

    MENSAJE INGLÉS 3:
    Asunto: uno de los siguientes:
    Details
    Oh God it's

    Contenido: es variable:
    1) Elemento fijo (dos líneas):
    I was surprised, too!
    Who_could_suspect_something_like_that? shityiiiii
    2) Opcional: una de estas frases:
    *-*-* Mail_Scanner: No Virus
    *-*-* Attachment: No Virus found
    3) Opcional elemento fijo (dos líneas):
    *-*-* %dominio de correo del destinatario, sin extensión y en mayúsculas%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del destinatario%

    Archivo adjunto:
    Opcional elemento de lista2 + Opcional número de 4 cifras + Opcional elemento de lista1 + Segunda extensión
    Elementos de lista2: im_shocked, oh_nono, thats_hard.


    Posibles asuntos en alemán:
    Richter unterstuetzt kriminelle Auslaenderin

  • El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
  • Sober.I busca direcciones de correo electrónico en archivos con las siguientes extensiones: ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DB, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMH, IMM, INBOX, INI, JSP, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
  • Sober.I envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
  • Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto:
    .dial., .kundenserver., .ppp., .qmail@, .sul.t-, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @messagelab, @msn, @nai., @panda, @smtp., @sophos, @spiegel., @www, abuse, announce, antivir, anyone, anywhere, bellcore., bitdefender, clock, detection, emsisoft, ewido., freeav, free-av, ftp., gold-certs, google, host., icrosoft., ipt.aol, kaspers, law2, linux, mailer-daemon, me@, mozilla, msdn., mustermann@, nlpmail01., noreply, nothing, ntp-, ntp@, office, password, postmas, reciver@, redaktion, secure, service, smtp-, somebody, someone, spybot, sql., subscribe, support, t-dialin, time, t-ipconnect, user@, variabel, verizon., viren, virus, whatever@, whoever@, winrardomain., winzip, you@ y yourname.

Otros detalles:

Sober.I está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 56808 Bytes, y está comprimido mediante UPX.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork