Una nueva variante del gusano Sober ha empezado a extenderse camuflada como una actualización de software de Microsoft, algo que ha hecho difundir un comunicado a la compañía reiterando que nunca distribuye actualizaciones de software a través de correo electrónico.


Los fabricantes de antivirus ya han publicado actualizaciones para detectar el gusano, y recomiendan utilizarlas para prevenir posibles infecciones causadas por Sober.D.

Sober.D es la última versión de un gusano que apareció por vez primera en octubre, y se caracteriza en esta variante por incluir un código que borra el gusano Mydoom de los sistemas Windows a los que infecta. Como sus predecesores, Sober.D se extiende recabando las direcciones de correo de los discos duros infectados, y enviando copias de sí mismo a esas direcciones. Para ello llega a insertar una versión en alemán de sus mensajes, enviándolos a servidores con dominios acabados en .de, según la compañía F-Secure.

Es por ello que los expertos antivirus creen que Sober.D (también llamado Roca) es originario de Alemania.

> VIRUS: WIN32/SOBER.D
descripción

nombre: Win32/Sober.D

aliases: W32.Sober.D@mm

tipo: Gusano de Internet

fecha: 07/03/2004

gravedad general:


distribución: Ninguna

daño:


destructivo: Si

lenguaje utilizado: Multilenguaje

origen: Desconocido

nombre asignado por: ESET



> INFORMACION
Nueva versión de este gusano, la cual se propaga por correo electrónico utilizando su propio motor SMTP.


> CARACTERISTICAS
Al ser ejecutado, se copia como smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:

C:\Windows\System (Win 95/98/Me)
C:\WinNT\System32 (Win NT/2000)
C:\Windows\System32 (Win XP)

Luego, extrae en el mismo directorio los siguientes archivos:

temp32x.data
wintmpx33.dat
Humgly.lkur
yfjq.yqwm
zmndpgwf.kxx

Bajo la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.

El contenido de (valor aleatorio) es construido con las siguientes cadenas:

sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

A continuación, el virus mostrará uno de los siguientes mensajes:

This patch has been successfully installed.

This patch does not need to be installed on this system.

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File (archivo).exe
Connection lost or blocked by Firewall

Buscará al finalizar direcciones de email en archivos dentro de cualquier unidad mapeada en el equipo en archivos con extensiones según este listado:

ini
log
mdb
tbb
abd
adb
pl
rtf
doc
xls
txt
wab
eml
php
asp
shtml
dbx
ttt
wab
tbb
abd
adb
pl

Una vez recolectadas las direcciones, ejecutará su rutina de envío masivo. Los mensajes enviados poseen el formato mostrado texto abajo:

De: (valor)@microsoft.com

donde (valor) puede ser:

Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security

Asunto:

Microsoft Alert: Please Read! Message-ID: <(caracteres aleatorios)[email protected]>

Microsoft Alarm: Bitte Lesen! Message-ID: <(caracteres aleatorios)[email protected]>

Cuerpo: (alguna de las dos versiones)

Inglés:

New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

Alemán:

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!

+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Archivo adjunto: es construido de la siguiente manera: (nombre aleatorio) (dígitos aleatorios) . ZIP o EXE.

(nombre aleatorio):

Patch
MS-Security
MS-UD
UpDate
sys-patch
MS-Q



> INSTRUCCIONES PARA ELIMINARLO
Eliminar de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, eliminar el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.

Reiniciar el equipo.

Eliminar el archivo smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:

C:\Windows\System (Win 95/98/Me)
C:\WinNT\System32 (Win NT/2000)
C:\Windows\System32 (Win XP)

Del mismo directorio eliminar los siguientes archivos:

temp32x.data
wintmpx33.dat
Humgly.lkur
yfjq.yqwm
zmndpgwf.kxx

Con un antivirus actualizado desarrollar un escaneo completo del sistema en busca de virus y eliminar todos los archivos que sean detectados como infectados.