M i c r o a s i s t .

F-Secure sube a alerta nivel 2 el gusano Sober

Nombre: Sober.I
ALIAS: W32/Sober.I@mm, I-Worm.Sober.i, W32/Sober.j@MM
ALIAS: W32/Sober.H@mm, W32.Sober.I@mm, WORM_SOBER.I
.
Resumen:

Debido al crecmiento de reportes sobre este virus, F-secure ha aumentado el a NIVEL 2 la alerta para este gusano.

El gusano Sober.I esta diseminándose sobre todo en Europa. enviando correos en Alemán o Ingles con diferentes anexos. El virus deja diferentes archivos en los sistemas infectados incluyendo spool32dir.exe.

Vea la evolución de este gusanos aquí

Descripción detallada

El gusano esta escrito en Visual Basic. El archivo del gusano es un ejecutable empacado en UPX que mide 56 KB.

Instalación en el sistema

Cuando el archivo del gusano se inicia, muestra el siguiente cuadro de dialogo.

Posteriormente el gusano se instala al sistema. hace dos copias de si mismo a la carpeta de sistema de Windows con un nombre generado aleatoriamente con extensión EXE. Las siguientes cadenas de texto se utilizan para generar el nombre:

sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Después de esto, el gusano crea las llaves de inicio para sus archivos en el registro de Windows. Los nombres de las llamadas también son semi-aleatorias y se generan de la siguiente lista.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe %srun%"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<random>" = "%WinSysDir%\<random>.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Durante su instalación el gusano crea alguno de los siguientes archivos en la carpeta de sistema de Windows.

dgssxy.yoi
sysmms32.lla
cvqaikxt.apk
Odin-Anon.Ger

Estos archivos tienen 0 kb y se utilizan para deshabilitar versiones anteriores de Sobir, si estas se encuentran instalados en la PC.

Adicionalmente el gusano crea los siguientes archivos:

clonzips.ssc
clsobern.isc
nonzipsr.noz
zippedsr.piz

Estos archivos son copias codificadas del virus y se utilizan para enviar los mensajes de correo electrónico del gusano.

Diseminándose por correo electrónico

El gusano envía mensajes de correo electrónico con mensajes de texto en Ingles y Alemán con su anexo adjunto. El archivo adjunto puede ser un ejecutable o un archivo ZIP que contiene el código ejecutable del gusano. El gusano compone diferentes tipos de mensajes y el contenido del texto es variable. Aquí se encuentra un ejemplo del mensaje enviado por el gusano:

Antes de diseminarse, el gusano rastrea los archivos con ciertas extensiones en todos los discos duros para obtener direcciones de correo. Los archivos que se rastrean son lo que tienen alguna de las siguientes extensiones:

pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Las direcciones de correo encontradas y nombres de usuario se salvan en estos dos archivos que el gusano crea en la carpeta del sistema de Windows.

winroot64.dal
winsend32.dal

Cuando el gusano se activa en memoria bloquea el acceso a estos archivos así como a archivos codificados con MIME. El gusano ignora direcciones de correo que contengan alguna de las siguientes cadenas de texto:

1-000000-000000
tps@
hubak@
ruiv@
farbugs@
ron@
info@
sales@
press@
ventes@
rar.dutch@
rar@
vmlich@
jimaz@
RAR.regsite@
provision@
alex@
webmaster@
rod@
selwyn_arrow@
admin@
inftec@
eugene@
jwpark@
sam@
sites.far@
whatsnew.far@
helpdesk@
fararcbugs@
mark@
cogswell@
licensing@
apply@
Ollydbg@
snaker@
mail@
qwaci@
g-rom@
lorian@
stone@
GOD@
tac_2000@
tac_cracking@
mackt@
christoph@
rarsoft.com
rarsoft.de
yahoo.com

Si el gusano envía mensajes infectados a los dominios con los siguientes sufijos '.de', '.ch', '.at', '.li' o 'gmx.' , genera mensajes en alemán o Ingles. Los mensajes se crean en base a las siguientes cadenas de texto:

Asunto (uno de los siguientes):

Details
God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mail Error
illegal signs in your mail
invalid mail
Mail Delivery failure
mail delivery system

Cuerpo del mensaje (una de las siguientes):

I was surprised, too!
Who could suspect something like that? shity
Your password was changed successfully!
Protected message is attached!
This mail was generated automatically.
More info about --<domain>-- under http://<domain>

Nombre del anexo (una de las siguientes):

im_shocked
thats_hard
oh_nono
user_info
new_account
info
hostmaster
corrected
full
original
re_mail
auto_mail
mail

El nombre del anexo del gusano puede contener números aleatorios y puede tener alguna de las siguientes extensiones:

.com
.bat
.pif
.scr

También el anexo puede ser enviado como archivo ZIP. En este caso el archivo del gusano tendrá doble extensión. La primera extensión se selecciona de la siguiente lista:

.txt
.doc
.word
.xls
.eml

El asunto del correo infectado puede tener la cadena 'FwD:' o 'Re:' , Sober.I puede poner un reporte de antivirus falso en el mensaje de correo, para indicarle al destinatario que el mensaje fue rastreado y que no se encontró ninguna infección.

Detección

Esta variante de Sober se detecta con las actualizaciones de F-Secure del 2004-11-19_01