Resultados 1 al 2 de 2

El gusano Sober se extiende con la versión D

  1. #1 El gusano Sober se extiende con la versión D 
    Moderador HH
    Fecha de ingreso
    Oct 2002
    Ubicación
    Between angels and insects
    Mensajes
    2.334
    Descargas
    0
    Uploads
    0
    Una nueva variante del gusano Sober ha empezado a extenderse camuflada como una actualización de software de Microsoft, algo que ha hecho difundir un comunicado a la compañía reiterando que nunca distribuye actualizaciones de software a través de correo electrónico.


    Los fabricantes de antivirus ya han publicado actualizaciones para detectar el gusano, y recomiendan utilizarlas para prevenir posibles infecciones causadas por Sober.D.

    Sober.D es la última versión de un gusano que apareció por vez primera en octubre, y se caracteriza en esta variante por incluir un código que borra el gusano Mydoom de los sistemas Windows a los que infecta. Como sus predecesores, Sober.D se extiende recabando las direcciones de correo de los discos duros infectados, y enviando copias de sí mismo a esas direcciones. Para ello llega a insertar una versión en alemán de sus mensajes, enviándolos a servidores con dominios acabados en .de, según la compañía F-Secure.

    Es por ello que los expertos antivirus creen que Sober.D (también llamado Roca) es originario de Alemania.
    "Prefiero estar en silencio y parecer idiota que abrir la boca y despejar toda clases de dudas"
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Oct 2003
    Ubicación
    México, QRO.
    Mensajes
    251
    Descargas
    0
    Uploads
    0
    > VIRUS: WIN32/SOBER.D
    descripción

    nombre: Win32/Sober.D

    aliases: W32.Sober.D@mm

    tipo: Gusano de Internet

    fecha: 07/03/2004

    gravedad general:


    distribución: Ninguna

    daño:


    destructivo: Si

    lenguaje utilizado: Multilenguaje

    origen: Desconocido

    nombre asignado por: ESET



    > INFORMACION
    Nueva versión de este gusano, la cual se propaga por correo electrónico utilizando su propio motor SMTP.


    > CARACTERISTICAS
    Al ser ejecutado, se copia como smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:

    C:\Windows\System (Win 95/98/Me)
    C:\WinNT\System32 (Win NT/2000)
    C:\Windows\System32 (Win XP)

    Luego, extrae en el mismo directorio los siguientes archivos:

    temp32x.data
    wintmpx33.dat
    Humgly.lkur
    yfjq.yqwm
    zmndpgwf.kxx

    Bajo la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, es agregado el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.

    El contenido de (valor aleatorio) es construido con las siguientes cadenas:

    sys
    host
    dir
    explorer
    win
    run
    log
    32
    disc
    crypt
    data
    diag
    spool
    service
    smss32

    A continuación, el virus mostrará uno de los siguientes mensajes:

    This patch has been successfully installed.

    This patch does not need to be installed on this system.

    Microsoft Windows
    STOP: 0x80070725 {FatalSystemError}
    System File (archivo).exe
    Connection lost or blocked by Firewall

    Buscará al finalizar direcciones de email en archivos dentro de cualquier unidad mapeada en el equipo en archivos con extensiones según este listado:

    ini
    log
    mdb
    tbb
    abd
    adb
    pl
    rtf
    doc
    xls
    txt
    wab
    eml
    php
    asp
    shtml
    dbx
    ttt
    wab
    tbb
    abd
    adb
    pl

    Una vez recolectadas las direcciones, ejecutará su rutina de envío masivo. Los mensajes enviados poseen el formato mostrado texto abajo:

    De: (valor)@microsoft.com

    donde (valor) puede ser:

    Info
    Center
    UpDate
    News
    Help
    Studio
    Alert
    Patch
    Security

    Asunto:

    Microsoft Alert: Please Read! Message-ID: <(caracteres aleatorios)[email protected]>

    Microsoft Alarm: Bitte Lesen! Message-ID: <(caracteres aleatorios)[email protected]>

    Cuerpo: (alguna de las dos versiones)

    Inglés:

    New MyDoom Virus Variant Detected!
    A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
    Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
    The worm also has a backdoor Trojan capability.
    By default, the Trojan component listens on port 13468.
    Protection:
    Please download this digitally signed attachment.
    This Update includes the functionality of previously released patches.

    +++ ©2004 Microsoft Corporation. All rights reserved.
    +++ One Microsoft Way, Redmond, Washington 98052
    +++ Restricted Rights at 48 CFR 52.227-19

    Alemán:

    Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
    Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
    Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
    Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
    F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
    Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!

    +++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
    +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
    +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

    Archivo adjunto: es construido de la siguiente manera: (nombre aleatorio) (dígitos aleatorios) . ZIP o EXE.

    (nombre aleatorio):

    Patch
    MS-Security
    MS-UD
    UpDate
    sys-patch
    MS-Q



    > INSTRUCCIONES PARA ELIMINARLO
    Eliminar de la clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \datasmss32 el valor (valor aleatorio) C:\Windows\System32\smss32win.exe. Además, eliminar el valor (valor aleatorio) C:\Windows\System32\smss32win.exe %1 bajo la rama HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once.

    Reiniciar el equipo.

    Eliminar el archivo smss32win.exe bajo el siguiente directorio, dependiendo del sistema operativo:

    C:\Windows\System (Win 95/98/Me)
    C:\WinNT\System32 (Win NT/2000)
    C:\Windows\System32 (Win XP)

    Del mismo directorio eliminar los siguientes archivos:

    temp32x.data
    wintmpx33.dat
    Humgly.lkur
    yfjq.yqwm
    zmndpgwf.kxx

    Con un antivirus actualizado desarrollar un escaneo completo del sistema en busca de virus y eliminar todos los archivos que sean detectados como infectados.
    Tengo el peor de los cansancios......el cansancio de mi mismo.

    ¦¦lH░▒░₪نקηی۱h٤r₪░▒░Hl¦¦
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 13-10-2011, 00:15
  2. Un nuevo virus se extiende a través de Facebook
    Por clarinetista en el foro NOTICIAS
    Respuestas: 4
    Último mensaje: 14-12-2010, 20:02
  3. Respuestas: 0
    Último mensaje: 15-10-2008, 19:13
  4. Respuestas: 0
    Último mensaje: 01-04-2006, 02:16
  5. Se extiende nuevo virus "Swen"
    Por victorc90 en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 19-09-2003, 02:39

Marcadores

Marcadores