publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Sober.V

Virus Sober.V

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Sober.V muestra un falso mensaje de error de la aplicación WinZip Self Extractor:

Error:CRC Not completed

Metodo de infección:

Sober.V crea los siguientes archivos:

  • SMSS.EXE, SERVICES.EXE y CSRSS.EXE. Estos archivos, que son una copia del gusano, son creados en la subcarpeta CONNECTION WIZARD\ STATUS del directorio de Windows.
  • PACKED1.SBR, PACKED2.SBR y PACKED3.SBR, que son copias del gusano en formato base64.

Sober.V crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    WinStart = %windir%\ Connection Wizard\ status\ services.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    WinStart = %windir%\ Connection Wizard\ status\ services.exe
    donde %windir% es el directorio de Windows.
    Mediante estas entradas, Sober.V consigue ejecutarse cada vez que Windows se inicia.

Metodo de propagación:

Sober.V se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo electrónico escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).


    MENSAJES EN INGLÉS:

    Asunto: uno de los siguientes:
    Your Password
    Re:
    Your email was blocked
    Registration Confirmation
    mailing error


    Contenido: uno de los siguientes:
    ok ok ok,,,,, here is it

    Account and Password Information are attached!
    Visit:     %dirección web%

    This is an automatically generated E-Mail Delivery Status Notification.
    Mail-Header, Mail-Body and Error Description are attached

    Y añade uno de los siguientes textos, para intentar hacer creer al usuario que el mensaje no contiene ningún virus:
    Attachment-Scanner: Status OK
    AntiVirus: No Virus found
    Server-AntiVirus: No Virus (Clean)

    Archivo adjunto: uno de los siguientes:
    OUR_SECRET.ZIP
    MAIL_INFO.ZIP
    ERROR-MAIL_INFO.ZIP
    ACCOUNT_INFO.ZIP
    ACCOUNT_INFO-TEXT.ZIP

    MENSAJES EN ALEMÁN:

    Asunto: uno de los siguientes:
    Ihr Passwort
    Mail-Fehler!
    Ihre E-Mail wurde verweigert
    Ich bin's, was zum lachen ;)
    Glueckwunsch: Ihr WM Ticket
    WM Ticket Verlosung
    WM-Ticket-Auslosung


    Contenido: uno de los siguientes:
    Passwort und Benutzer-Informationen befinden sich in der beigefuegten
    Anlage.
    %dirección web%
    *-* MailTo: PasswordHelp


    Diese E-Mail wurde automatisch erzeugt
    Mehr Information finden Sie unter     %dirección web%
    Folgende Fehler sind aufgetreten:
    Fehler konnte nicht Explicit ermittelt werden
    Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl.
    Daten gezippt & angehaengt werden.
    Wir bitten Sie, dieses zu beruecksichtigen.
    Auto ReMailer#


    Nun sieh dir das mal an
    Was ein Ferkel ....


    Herzlichen Glueckwunsch,
    beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft
    2006 in Deutschland sind Sie
    dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
    St. Rainer Gellhaus
    %dirección web%

    Y añade uno de los siguientes textos:
    Mail-Scanner: Es wurde kein Virus festgestellt
    AntiVirus: Kein Virus gefunden
    AntiVirus-System: Kein Virus erkannt

    Archivo adjunto: uno de los siguientes:
    AUTOEMAIL-TEXT.ZIP
    _PASSWORT-INFO.ZIP
    FIFA_INFO-TEXT.ZIP
    OKTICKET-INFO.ZIP
  • El ordenador es afectado cuando el archivo adjunto es ejecutado.
  • Sober.V busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones:
    ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMM, INBOX, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PHTM, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
  • Sober.V envía una copia de sí mismo a todas las direcciones que ha recogido, empleando para ello su propio motor SMTP.
  • Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
    .dial., .kundenserver., .ppp., .qmail@, .sul.t-, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @kaspers, @messagelab, @nai., @panda, @smtp., @sophos, @www, abuse, announce, antivir, anyone, anywhere, bellcore., bitdefender, clock, -dav, detection, domain., emsisoft, ewido., freeav, free-av, ftp., gold-certs, google, host., icrosoft., ipt.aol, law2, linux, mailer-daemon, mozilla, mustermann@, nlpmail01., noreply, nothing, ntp-, ntp., ntp@, office, password, postmas, reciver@, secure, service, smtp-, somebody, someone, spybot, sql., subscribe, support, t-dialin, test@, time, t-ipconnect, user@, variabel, verizon., viren, virus, whatever@, whoever@, winrar, winzip, you@ y yourname.

Otros detalles:

Sober.V está escrito en el lenguaje de programación Visual Basic. Este gusano tiene un tamaño de 53544 Bytes, y está comprimido mediante UPX.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork