F-Secure cambia a Alerta 2 para el gusano Sober.N

Nombre: Sobre.N

Alias: Email-Worm.Win32.VB.aj, W32.Sober.N@mm, W32/Sober.o@MM

Resumen:

Sober.N es un gusano de Internet que se encontró el 19 de abril del 2005, debido a la gran cantidad de reportes sobre el mismo, Sober.N ha sido considerado como Alerta 2 por parte de F.Secure. Este gusano es capaz de mandar mensajes en Inglés y Alemán, discriminando los dominios de las direcciones de correo que obtiene para decidir en que idioma se envía el mensaje.

Descripción Detallada

El gusano se encuentra escrito en Visual Basic. El gusano es un paquete modificado UPX de 73 Kb aproximadamente.

Sober .N envía diferentes tipos de mensajes de correo con texto en Alemán e Inglés asimismo envía un anexo ZIP que contiene el ejecutable del gusano.

Este código compone mensajes como : "I've_got your EMail on my_account!" y/o "FwD: Ich bin's nochmal" con un anexo como: your_text.zip.

Instalación en el sistema

Cuando el archivo del gusano se inicia abre una ventana de dialogo con el siguiente texto:

Cuando el archivo del gusano se ejecuta, se copia como "services.exe" en la siguiente carpeta de sistema que es creada por el gusano %WinDir%\Config\system\ folder. Asimismo agrega las siguientes llamadas en el registro de Windows

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SystemCheck" = "%WinDir%\Config\system\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_SystemCheck" = "%WinDir%\Config\system\services.exe"

Sober.N también genera los siguientes archivos en la carpeta de instalación.

zipped.wrm
maddys.xyz

'zipped.wrm' contiene el código del gusano y se utiliza para diseminar 'maddsys.xyz' ,este último se utiliza para guardar las direcciones de correo electrónico.

Para desactivar versiones anteriores del mismo, Sober.N escribe los siguientes archivos a la carpeta del sistema.

nonrunso.ber
langeinf.lin
adcmmmmq.hjg
xcvfpokd.tqa
Diseminación en correo electrónico.

Antes de enviarse el gusano busca archivos con ciertas extensiones en el disco duro para obtener direcciones de correo electrónico. Los archivos con estas extensiones son rastreados:

pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

A su vez ignora direcciones de correo electrónico que contengan alguna de estas subcadenas de texto:

@www
@from.
smtp-
@smtp.
ftp.
.dial.
.ppp.
anyone
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
mailer-daemon
variabel
noreply
-dav
law2
.qmail@
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
@foo.
winzip
@example.
bellcore.
@arin
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock

El gusano compone los correos en Inglés y Alemán. Distinguiendo los mensajes con dominios'.de', '.ch', '.at', '.li' y 'gmx, para mandar el mensaje en Alemán y el resto de dominios son enviados en Inglés.

Sober.N envía el siguiente mensaje de correo:

Asunto:
I've_got your EMail on my_account!
FwD: Ich bin's nochmal

Cuerpo del mensaje:
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.
bye
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)

Anexo:
your_text.zip
Private-Texte.zip

Sober.N es detectado por F-Secure con la definición de firmas del 19 de abril del 2005. recuerde mantener actualizado su antivirus. Y "no ejecute" ningún anexo que no este esperando, no importando el remitente. Recuerde que los gusanos y códigos maliciosos en general, buscan engañar al usuario.