> VIRUS: WIN32/SOBER.D
descripción
nombre: Win32/Sober.D
aliases: W32.Sober.D@mm
tipo: Gusano de Internet
fecha: 07/03/2004
gravedad general:
distribución: Ninguna
daño:
destructivo: Si
lenguaje utilizado: Multilenguaje
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Nueva versión de este gusano, la cual se propaga por correo electrónico utilizando su propio motor SMTP.
> CARACTERISTICAS
Al ser ejecutado, se copia como smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:
C:\Windows\System (Win 95/98/Me)
C:\WinNT\System32 (Win NT/2000)
C:\Windows\System32 (Win XP)
Luego, extrae en el mismo directorio los siguientes archivos:
temp32x.data
wintmpx33.dat
Humgly.lkur
yfjq.yqwm
zmndpgwf.kxx
Bajo la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.
El contenido de (valor aleatorio) es construido con las siguientes cadenas:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
A continuación, el virus mostrará uno de los siguientes mensajes:
This patch has been successfully installed.
This patch does not need to be installed on this system.
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File (archivo).exe
Connection lost or blocked by Firewall
Buscará al finalizar direcciones de email en archivos dentro de cualquier unidad mapeada en el equipo en archivos con extensiones según este listado:
ini
log
mdb
tbb
abd
adb
pl
rtf
doc
xls
txt
wab
eml
php
asp
shtml
dbx
ttt
wab
tbb
abd
adb
pl
Una vez recolectadas las direcciones, ejecutará su rutina de envío masivo. Los mensajes enviados poseen el formato mostrado texto abajo:
De: (valor)@microsoft.com
donde (valor) puede ser:
Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security
Asunto:
Microsoft Alert: Please Read! Message-ID: <(caracteres aleatorios)
[email protected]>
Microsoft Alarm: Bitte Lesen! Message-ID: <(caracteres aleatorios)
[email protected]>
Cuerpo: (alguna de las dos versiones)
Inglés:
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
Alemán:
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!
+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
Archivo adjunto: es construido de la siguiente manera: (nombre aleatorio) (dígitos aleatorios) . ZIP o EXE.
(nombre aleatorio):
Patch
MS-Security
MS-UD
UpDate
sys-patch
MS-Q
> INSTRUCCIONES PARA ELIMINARLO
Eliminar de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, eliminar el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.
Reiniciar el equipo.
Eliminar el archivo smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:
C:\Windows\System (Win 95/98/Me)
C:\WinNT\System32 (Win NT/2000)
C:\Windows\System32 (Win XP)
Del mismo directorio eliminar los siguientes archivos:
temp32x.data
wintmpx33.dat
Humgly.lkur
yfjq.yqwm
zmndpgwf.kxx
Con un antivirus actualizado desarrollar un escaneo completo del sistema en busca de virus y eliminar todos los archivos que sean detectados como infectados.