Nueva variante del virus Sober

Nombre: Sober.K
Alias: W32/Sober.K@mm, Email-Worm.Win32.Sober.k

Resumen

El gusano Sober.K fué enviado en correos masivos el 21 de Febrero del 2005. Esta versión es muy similar a las anteriores.

Sober.K se envía como anexo en los correos electrónicos con textos en Alemán e Inglés y deja sus procesos activos en memoria.

Descripción Detallada

El gusano esta escrito en Visual Basic y se encuentra compactado en UPX. El gusano agrega basura aleatoria al final de su archivo cada vez que se instala en una PC.

Instalación en el Sistema

Cuando el archivo del gusano se inicia, abre un editor de texto con el siguiente contenido.

Cuando el archivo del gusano se ejecuta, se copia con 3 diferentes nombres a la carpeta %WinDir%\msagent\win32\:

csrss.exe
smss.exe
winlogon.exe

Estos archivos son idénticos a la copia del gusano excepto por un byte, El cual cambia en cada copia que deja. El gusano siempre mantiene 2 de estos procesos en memoria.

Sober.K agrega las siguientes llaves del registro para alguno de los archivos que genera.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_winsystem.sys" = "%WinDir%\msagent\win32\smss.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"winsystem.sys" = "%WinDir%\msagent\win32\smss.exe"

Si se borran estas llaves, el gusano las recrea después de unos segundos.

Sober.K deja algunos archivos vacíos en el directorio del sistema de Windows. Estos archivos se utilizan para desactivar versiones anteriores de este mismo gusano.

runnowso.ber
nonrunso.ber
stopruns.zhz

El gusano crea algunos archivo en la carpeta de instalación:

datamx1.dat
datamx2.dat
datamx3.dat
goto1.dat
goto2.dat
goto3.dat
zippedso1.ber
zippedso2.ber
zippedso3.ber

Los archivos 'datamx' y 'goto' se utilizan para guardar direcciones de correo obtenidas del disco duro de la computadora y los otros 3 archivos se utilizan para guardar una copia compactada del gusano.

También el gusano deja el archivo 'read.me' a la carpeta de Windows, el cual contiene el siguiente texto:

Ist eine weitere Test-Version. Lauft nur ein paar Tage!
In diesem Sinne:
Odin alias Anon

Diseminándose en correos electrónicos

El gusano envía diferentes tipos de correos electrónicos en Alemán e Inglés con su archivo anexo. El anexo es un archivo ZIP que contiene el código del virus. Antes de diseminarse, el archivo busca por archivos con ciertas extensiones en todos los discos duros en búsqueda de direcciones de correo.

Las direcciones que son encontradas, se guardan en 6 archivos que el gusano crea en su carpeta de instalación principal.

datamx1.dat
datamx2.dat
datamx3.dat
goto1.dat
goto2.dat
goto3.dat

Cuando el gusano se activa en memoria bloquea el acceso a estos archivos así como a los archivos codificados con MIME.

El gusano ignora las direcciones de correo que contenga alguna de las siguientes subcadenas de texto:

ntp-
ntp@
ntp.
info@
test@
@www
@from.
support
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
iana@
iana-
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock

El gusano compone los siguientes correos en Inglés.

Asunto :

Your new Password
Mail_delivery_failed
Paris Hilton, pure!
Alert! New Sober Worm!
You visit illegal websites

Remitente:

service
webmaster
register
hostmaster
postmaster
police
Officer
Admin
Web
FBI
Michele@yahoo.com
Melanie@yahoo.com
security@microsoft.com

Texto del mensaje:

Thanks for your registration!
We have received your payment.
For more detailed information, read the attached text.
---- o ----
This is an automatically generated Delivery Status Notification.
ESMTP Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached
---- o ----
More than 50 HOT Hilton Videos
More than 3000 Hilton picks
FREE Download until April, 2005
Make your own Download Account, it's free!
Further details are attached
Thanks & have fun ;)
---- o ----
ATTENTION!
Antivirus vendors are warning of a new variant of the Sober
Virus discovered today that can delete the hard disk.

Protección:

Download and read the zipped patch. It's very easy to install!
Thanks for your cooperation!
--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399
---- o ----
Dear Sir/Madam,
we have logged your IP-address on more than 40 illegal Websites.
Important: Please answer our questions!
The list of questions are attached.
Yours faithfully,
M. John Stellford
++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ (202) 324-3000

Anexos:

text.zip
register_<random>.zip
header_<random>.zip
register.zip
text_<random>.zip
help-text.zip
patch_<random>.zip
indictment_cit.zip
text-<random>.zip
donde <random> es un numero aleatorio

El gusano puede agregar un reporte falso de antivirus a sus correos infectados.

Lo mismo sucede para los correos en Alemán.

El gusano no utiliza ningún exploit al iniciar su archivo automáticamente al sistema del destinatario.

Desactivación

El gusano no infecta a las computadoras si se encuentra el archivo 'xcvfpokd.tqa' en el disco duro.

Detección

F-Secure detecta esta variante desde el 21 de febrero del 2005.