Soluciones humanas a problemas técnicos
> >
 
NOTICIAS
>
   Nuevos Virus
>
   Internet
>
   E-mail
>
   Niños
>
   Windows
>
   Linux
>
   Encripción
>
   Móvil
>
   Tips
 
 
MENU
>
   Productos (NUEVO)
>
   Promociones
>
   Revisa Tu PC
>
   Downloads
>
   Servicios
>
   Cursos
>
   Noticias
>
   Contacto
>
   Boletín F-Secure
>
   Distribuidores
>
   Bolsa de trabajo

N O T I C I A S / N U E V O S  V I R U S

Nuevo Gusano utiliza mail a nombre del FBI y la CIA para diseminarse

Por: Karina Saavedra O.

Nombre: Sober Y
Alias: Email-Worm.Win32.Sober.y, W32/Sober.Y@mm, CME-681

Esta nueva variante Sober.Y fué encontrada en Noviembre 16 del 2005, sin embargo se disemino solo el 21 de Noviembre. Esta variante, Sober.Y es similar tanto a Sober.K como a sus últimas versiones que aparecieron a mediados de Noviembre. Pero es importante mencionar que este mail sigue difundiéndose por usuarios en Internet.

http://www.f-secure.com/v-descs/sober_k.shtml
http://www.f-secure.com/v-descs/sober_t.shtml

Como en variantes anteriores, se auto-envía adentro de un archivo ZIP como un anexo en mensajes de correo electrónico en Inglés o Alemán.

Descripción Detallada

Sober.Y esta escrito en Visual Basic. El archivo del gusano es un UPX de 55 kb. Una vez descompactado el gusano mide alrededor de 198 kb. En esta ocasión el autor del gusano cambio la cadena de texto usada para desencriptar las cadenas de datos en el cuerpo del gusano, pero no cambio el algoritmo de encriptación.

Instalación en el Sistema

Después de que es ejecutado por algún usuario, el gusano muestra un mensaje de error falso con el siguiente cuadro de texto:

Posteriormente crea una subcarpeta llamada 'WinSecurity' dentro de la carpeta de Windows y se autocopia 3 veces con los siguientes nombres:
services.exe
csrss.exe
smss.exe

Adicionalmente el gusano crea los siguientes archivos en la misma carpeta:
mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
socket1.ifo
socket2.ifo
socket3.ifo

Los primeros 6 archivos se utilizan para guardar direcciones de correo que se van obteniendo, y los 3 últimos archivos se utilizan para guardar el cuerpo del gusano.

El gusano también agrega las siguientes llaves de inicio dentro del registro de Windows
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" Windows" = "%WinDir%\WinSecurity\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%WinDir%\WinSecurity\services.exe"

Sober.Y crea algunos archivos vacíos en la carpeta de Windows System con los siguientes nombres.
nonrunso.ber
langeinf.lin
runstop.rst
rubezahl.rub
bbvmwxxf.hml
filesms.fms

Estos archivos se utilizan para desactivar variantes anteriores de Sober. El gusano bloquea el acceso a estos archivos y vuelve a crear las llaves de inicio del registro si estas han sido borradas.

Diseminación en Correos Electrónicos

El gusano Sober.Y envía mensajes en Inglés y alemán con su archivo adjunto en donde se encuentra el ejecutable del mismo.

Para obtener las direcciones de correo, el gusano rastrea archivos con las siguientes extensiones:
pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms
nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc
pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw
mde frm bas adr cls ini ldif log mdb xml wsh tbb abx
abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp
mht nfo php asp shtml dbx

Las direcciones de correo se guardan en los archivos "mssock*.dli" y "winmem*.ory" que han sido creadas en la misma carpeta donde se localiza el ejecutable principal del gusano.

Sober.Y ignora direcciones de correo si contienen alguna de las siguientes cadenas de texto:
ntp- ntp@ ntp. test@ @www @from. support smtp- @smtp.
gold-certs ftp. .dial. .ppp. anyone subscribe announce
@gmetref sql. someone nothing you@ user@ reciver@ somebody
secure whatever@ whoever@ anywhere yourname mustermann@
.kundenserver. mailer-daemon variabel noreply -dav law2
.sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav
@ca. abuse winrar domain. host. viren bitdefender spybot
detection ewido. emsisoft linux google @foo. winzip
@example. bellcore. @arin mozilla iana@ iana- @iana @avp
icrosoft. @sophos @panda @kaspers free-av antivir virus
verizon. @ikarus. @nai. @messagelab nlpmail01. clock

Cuando el gusano envía un correo que contiene el dominio "gmx" o tiene el sufijo de ".de", ".li", ".ch" o ".at", compone los mensajes en Alemán, de no ser así los manda en Inglés.

Los mensajes se envían como si el remitente fuera la CIA o el FBI, así en el campo De:, es posible encontrar cualquiera de los siguientes:
Department@fbi.gov
(also can be Office@, Admin@, Mail@, Post@)
Department@cia.gov
(also can be Office@, Admin@, Mail@, Post@)

El Asunto puede ser cualquiera de los que se encuentran a continuación:
You visit illegal websites
Your IP was logged

Y finalmente el cuerpo del mensaje es:
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

Si el gusano utiliza la dirección @cia.gov, entonces el mensaje termina así:
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

Los nombres de los anexos pueden ser:
question_list.zip
list.zip

Los mensajes en Alemán son similares, solo que el remitente es BKA, pudiendo ser:
Downloads@bka.bund.de
(also can be BKA@, Internet@, Post@, Anzeige@, BKA.Bund@)

El asunto puede contener cualquiera de estos:
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien

El texto del cuerpo del mensaje puede ser:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und
somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass
Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner
wurde als Beweismittel sichergestellt und es wird ein
Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird
Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

El anexo:
Akte.zip

A continuación podemos ver un ejemplo de un mensaje enviado por este gusano:

El ejecutable del gusano se encuentra adentro de archivos ZIP anexado en todos los mensajes infectados. Para poder infectarse el usuario debe de tratar de abrir el archivo del gusano

Funcionalidad

Sober.Y worm termina las aplicaciones que tienen las siguientes cadenas de texto en sus nombres:
microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

Posteriormente el gusano muestra el siguiente cuadro de dialogo:

Este truco se hace para persuadir al usuario de que no tiene ninguna infección en su máquina o que no se ha detectado nada por su antivirus.

El gusano también puede bajar y ejecutar archivos en la computadora infectada.

Adicionalmente el gusano se pone en contacto con servidores de tiempo para sincronizar sus actividades.

Sober.Y es detectado con las definiciones de virus del 16/11/05 de F-Secure Antivirus.

 
Untitled Document
>
 Troyanos Espías
>
 La Tormenta envia a sus cupidos
>
 Se disemina por Internet
Nuevo gusano llamado Agent.BKY
>
 Video del ahorcamiento de Saddam con Virus
>
 Se disemina virus sobre Vicente Fox
>
 ¿Una antorcha que quema tu disco duro?
>
 Aumentan los virus para MAC OS X
>
 Nuevo Mapa Mundial de Virus por F-Secure
>
 Primeros reportes de daños causados por el gusano Nymex o Kama Sutra
>
 Nuevo Virus Nyxem.E puesto en Alerta Nivel 2 por F-Secure
>
 Actualización urgente para usuarios de F-Secure
>
 Circula un nuevo gusano por Internet: B.bi
>
 Vulnerabilidad Zero-day de windows aún sin un parche de seguridad
>
 Nuevo Gusano utiliza mail a nombre del FBI y la CIA para diseminarse
>
 Bozori.A variante de Zotob
>
 Nuevo Gusano Zotob.A
>
 Lebreat gusano de correo masivo
>
 Troyano Delf.h utiliza los acontecimientos de Londres para diseminarse
>
 Symbian.L pretende ser F-Secure Mobile Antivirus
>
 Circula una nueva versión de Bagle.BO
>
 Sober.P promete boletos gratis a Alemania 2006
>
 Revolucionaria Tecnología Blacklight
>
 F-Secure cambia a Alerta 2 para el gusano Sober.N
>
 Nueva versión del gusano win32/Kelvir para Messenger/ Rbot
>
 Mytob Epidemia o Mito
>
 Nuevo troyano para Teléfono Móvil
>
 Peligroso virus en Celulares
>
 Troyano en Java que infecta Internet Explorer
>
 Nuevo Gusano SUMOM circula por Messenger
>
 Liberan 5 nuevas versiones del gusano Bagle
>
 Nuevo Virus Mytob.A
>
 Nueva variante del virus Sober
>
 Más reportes sobre la versión MyDoom.BB
>
 Cuida tu Messenger de Bropia.F
>
 Nueva variante de BAGLE.AY
>
 Nuevo Gusano se disemina por Messenger MSN
>
 Nueva Versión Mydoom, manda imágenes pornográficas por e-mail
>
 Santy ataca servidores con phpBB
>
 Nueva versión de Zafi.D se envía como Tarjeta Navideña
>
 Reaparece Broma por Correo Electrónico
>
 F-Secure sube a alerta nivel 2 el gusano Sobir
>
 Bagle.AT
>
 Nuevo virus que se propaga por floppies y Cds
>
 Como eliminar el gusano CABIR
>
 Se dispersa por correo masivo Bagle.AS
>
 Java/Binny.A
>
 Amus - un gusano que habla
>
 Gliders - Nuevos troyanos se envían por spam
>
 Nuevo Gusano.....Cali
>
 Mydoom.S se disemina por spam
>
 Alerta sobre Bagle AL
>
 Se descubre un nuevo backdoor para pocket PC- Brador
>
 Gusano MABUTU/A.B. para IRC, P2P y MSN Messanger
>
 Zindos, un gusano que utiliza Mydoom.M para diseminarse
>
 MyDoom ataca de nuevo, ahora MyDoom.M
>
 Se encuentra el primer virus para PocketPC
>
 Gusano Evaman
>
 Quienes son los posibles creadores de Padodor
>
 Nuevo gusano para IIS de Microsoft:SCOB
>
 Nuevo gusano que corre en teléfonos Celulares
>
 Se disemina nueva versión del virus Zafi en diferentes idiomas
>
 Información bancaria robada a través del troyano win32.Montp
>
 Nueva variante del virus KORGO
>
 Gusano Wallon utiliza a Yahoo
>
 Elimina Sasser
>
 Gusano Sasser.C
>
 Resumen de la guerra de virus y gusanos
>
 Epidemia de variantes de NetSky y Bagle
>
 NetSky.C - Variante de NetSky.B
>
 NetSky.B - En formato .ZIP
>
 Bagle.B - Variante de Bagle
>
 Doomjuice - deja código fuente
>
 MyDoom.B -ataca Microsoft
>
 Gusano MyDoom -para usuarios de Kazaa
>
 Gusano Dumaru.Y -Roba datos de la PC
>
 Gusano Bagle - Mail Masivo
>
 Gusano XOMBE
>
 Gusano Sober.C expandiéndose en Alemán
>
 El resumen de Seguridad de datos de F-Secure Corp para el 2003
>
 Gusano Scold.A
>
 Nueva version de Mimail
>
 Sistema Paypal está siendo usado por gusanos
>
 Paypal gusano Mimail.I ataca las redes
>
 El gusano Mimail.C continúa distribuyéndose
>
 Variante Agobot.3.fr
>
 Expandiéndose por Messenger
>
 Troyano Delude
>
 Aparece Kromber en el e-mail
>
 Gusano Swen se aprovecha de Microsoft
>
 Importante parche de seguridad de Microsoft
>
 Raleka, de la familia de Lovsan (Blaster)
>
 4 deSeptiembre-Troyano Surfrbar aquí
>
 ALERTA!!! peligroso gusano se activara HOY
>
 WELCHI, un Virus-Antivirus
>
 Se expande Sobig.F
>
 Aparecen dos variantes más de Lovsan
>
 Instrucciones para eliminar LOVSAN
>
 Terrible gusano LOVSAN.
>
 Información sobre la herramieta RPC exploit.
>
 Gusano Mimal expandiéndose con fuerza
>
 Troyanos que marcan desde un MODEM
>
 Gusano Lohack.B se arovecha de Panda AV para expandirse
>
 Gusano Colevo alias W32.Vivael@mm atacando
>
 Sobig.E seguirá atacando
>
 ¿Quién le pone nombre a los virus?
>
 Bugbear pasa a alerta nivel 1 en F-Secure
>
 Variante C de Sobig
>
 Gusano Holar.H a la vista!
>
 Alerta,crece el número de infecciónes con Palyh!!
>
 Tres variantes nuevas de Lovgate
>
 Instrucciones de desinfección para Fizzer
>
 Epidemia de gusano Fizzer
>
 Gusano Kickin se extiénde rápida y fácilmente
>
 Pendientes del gusano Lovelorn
>
 Lovgate.F extendiéndose rápidamente
>
 Guerra cibernética
>
 Cambiando la manera de eliminar virus
>
 Ganda-ya esta aquí!
>
 Código Rojo de nuevo presente
>
 Deloder, gusano chino
>
 Variante nueva de Lovgate
>
 Sentencia para un creador de virus
>
 "SOLA BASIC Y MICROASIST EN ALIANZA DE SEGURIDAD"
>
 Atención Gusano Slammer
>
 Se propaga nuevo gusano "Sobig"
>
 Segunda variante: Lirva.B
>
 El recuento de los daños en el 2002
>
 Reaparece gusano ExploreZip
>
 Año nuevo, gusano nuevo
>
 Encontrado nuevo gusano...Lioten
>
 Variante de Yaha se hace presente
>
 Variante de Bridex aparece en Noviembre
>
 Nuevo gusano Winevar
>
 No solo de virus vive el hombre
>
 ¿Virus en Novell?
>
 Aviso importante sobre Friendgreetings E-card
>
 Roron, Gusano de KaZaa, de correo y Chat
>
 Información sobre viejas alertas de virus
>
 Nuevo gusano de correo Koreano Bridex
>
 Una tarjeta con virus para ti
>
 ¿Qué son los Honeypots?
>
 Los virus en Asistentes Digitales personales (PDAs)
>
 El futuro de los Antivirus
>
 Gusanos informáticos
>
 ¡Bugbear/Tanatos supera infección de Klez!
>
 Gusano de red OPASERV se expande
>
 Devnull gusano de linux
>
 Nuevo Virus Bugbear
>
 Slapper y sus variantes
>
 Desinfección de Slapper
>
 Primer gran ataque aLinux
>
 Gusano Chet del 11 de septiembre (NY)
>
 ¿Qué son los virus?
>
 ¿Cuáles son los virus de Boot?
>
 La evolución de los virus
>
 Sircam todavía se expande
>
 Frethem y las nuevas variantes.
>
 Más gusanos...Bandera Negra VBS./ Kitro D.
>

Nueva variante del Gusano Klez
>
 Informacion del Gusano Duni y como eliminarlo
>

Nuevo Gusano Scalper para servidores Apache (unix/linux)
>

Pasos para eliminar el gusano Yaha.E
>

ALERTA!!! - Gusano Yaha.E
>

Gusano Frethen.E
>

Shakira infecta a usuarios
>

Futboleramente infeccioso
>

SQLSpida, nuevo gusano
>

Alerta! - Gusano Kazaa.Benjamín
>

Klez.H sigue expandiéndose rápidamente...
>

Pasos para eliminar el gusano Klez.H

>

Surge Klez.H

>

Definición de la broma JDBGMGR.EXE
>

Broma circula por Internet
>

Variante del gusano Mylife
>

Gusano Mylife
>

Gusano Fbound
>

Gusano GIBE
>

El gusano Klez se activó el 6 de marzo

>

Yarner al ataque!
>

Un gusano por Messenger!
>

Virus en Unix
>

El gusano Klez utiliza a importante compañía antivirus para propagarse

>

Gusano Gigger
>

Gusano Donut

>

Advertencia sobre bromas
>

Primer Troyano del 2002 "DIDer"
>

Los 12 virus más importantes del 2001
>

Gusano "Zoher"
>

Gusano prenavideño "Coolsite"
>

Virus Navideño

>

Gusano Gokar
>

Gusano Goner
>

Instrucciones para remover Badtrans
>

Variante de Badtrans
>

Nuevo gusano Badtrans
>

Gusano Aliz
>

Gusano Finaldo
>

Variante del gusano Klez
>

F-Secure advierte acerca de Nimda.E

>

Gusano Klez
>

Antrax contagia correos...electrónicos
>

El gusano Sircam no se activará hoy martes 16 de octubre
>

Alianza de Compaq y F-Secure Inc.
>

Variante del gusano Nimda
>

Gusano WTC
>

Cuatro formas de infección del Nimda
>

Como eliminar el virus/gusano Nimda
>

Gusano Nimda, es muy complejo
>

Información técnica del gusano Nimda
>

El primer Troyano del Informe
>

Magistr segunda vuelta, más peligrosa
>

Nuevo código malicioso "Lara Croft"
>

Aparece otro nuevo gusano "Apost"
>

Nuevo gusano "Invalid"
>

Oleada de virus y bromas por Internet
>

El chat: una puerta infecciosa
>

Variante del Código Rojo
>

Sigue el Código Rojo
>

Gusano "Código Rojo"
>

Como limpiar el gusano "Sircam"
>

Gusano "Sircam"
>

Troj_Linong.A
>

Crean un virus contra la pornografía infantil
>

Gusano, TROJ_MSWORLD.A
>

Jennifer López Naked, sensual manera de infectar Pc's
>

No soy un virus, tan solo una utilería de Windows
>

El virus Sulfnbk.exe: es broma
>
 Gusano Mawanella
>
 Gusano Homepage
>
 Información sobre la activación de CIH en Abril del 2001
>
 Virus que se activa en Linux y en Windows
>
 Gusano Matcher.exe
>
 Cartolina, romanticamente italiano
>
 Se le acabo el juego al inventor de Kournicova
>
 Kournicova se extiende a la velocidad del email
>
 Annakournicova.jpg.vbs, Nuevo Gusano en Internet
>
 Nueva epidemia de Melissa
>
 Ramen, un gusano para Linux
>
 Davinia, el nuevo Gusano de Internet
>