Nombre: Win32.Sober.D@mm
Alias: Win32.Roca.A@mm
Tipo: Ejecutable Mensajero Masivo
Tamaño: 33792 bytes
Descubierto: 08.03.2004
Detectado: 08.03.2004
Propagación: Baja
Peligrosidad: Baja
In The Wild: Sí

Síntomas:
- Presencia de la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce
con un valor formado de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32
apuntando a un fichero de la carpeta Windows cuyo nombre está formado también con las palabras de arriba
- la presencia del fichero mencionado.

Descripción técnica:
El virus llega por correo en el siguiente formato, en inglés on en alemán:

De:
Direcciones de correo falsas, utilizando uno de los nombres:
Info, Center, UpDate, News, Help, Studio, Alert, Patch, Security
y uno de los dominios:
microsoft.com, microsoft.de, microsoft.at, microsoft.ch, microsoft.li
Por ejemplo, una falsa dirección de correo podría ser: Info@microsoft.com

Asunto:
Microsoft Alert: Please Read!
o
Microsoft Alarm: Bitte Lesen!

Cuerpo de texto 1:
New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

Cuerpo de texto 2:
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine VorgSnger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefShrlichen Trojaner!

Fhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schodling zu schtzen!

Adjunto:
Puede ser ZIP o EXE con los siguientes nombres, pueden seguir algunos dígitos:
sys-patch
MS-UD
MS-Security
Security
Patch

Después de ejecutarse, el gusano se copia a sí mismo en la carpeta de sistema de Windows con un nombre formado de una combinación de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32

El virus muestra un cuadro de mensaje con el siguiente texto
This patch has been successfully installed.
o
This patch does not need to be installed on this system.

Por ejemplo, si C:\Windows\System es la carpeta de sistema de Windows, el nombre del gusano podría ser:
C:\Windows\System\runspooldir.exe

El gusano crea la siguiente clave del registro para ser ejecutado con cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce
con un valor compuesto de las palabras mencionadas anteriormente y apuntando al ejecutable del virus, copiado en la carpeta de sistema de Windows.

Para recoger direcciones de correo, el virus busca ficheros con las siguientes extensiones:
ini, log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx, wab, tbb, abd, adb, pl

Para enviar e-mails, el gusano emplea dos ficheros temporales, que son códigos MIME del ejecutable del gusano o zip::
%SYSTEM%\wintmpx33.dat
%SYSTEM%\temp32x.data