Nombre: Win32.Sober.F@mm
Alias: N/A
Tipo: Ejecutable Mensajero Masivo
Tamaño: 42496 (empaquetado)
Descubierto: 04.04.2004
Detectado: 04.04.2004
Propagación: Media
Peligrosidad: Mínima
In The Wild: Sí
Síntomas:
La presencia de la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce (posiblemente una subclave suya)
con un valor formado de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32
apuntando a un fichero en la carpeta Windows, cuyo nombre está formado también de las palabras de arriba y la presencia de este fichero.
La presencia de los siguientes ficheros en la carpeta %SYSTEM%:
winsys32xx.zzp,
winhex32xx.wrm,
zmndpgwf.kxx,
bcegfds.lll,
zhcarxxi.vvx,
syst32win.dll,
spoofed_recips.ocx
Descripción técnica:
El virus llega por correo en alemán o en inglés.
El cuerpo del mensaje es uno de los siguientes:
I was surprised, too! :-( Who could suspect something like that?
All OK :) see, what i've found!
hi its me i've found a shity virus on my pc. check your pc, too! follow the
steps in this article. bye
I 've told you!:-) sometime I grab your passwords!
I hope you accept the result! Follow the instructions to read the message.
Please read the document
Registration confirmation
Confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.
++++ Mail To: User-info
*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said
:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered.
_This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission The original message is a separate attachment.
--- Web: http://www.
--- Mail To: UserHelp
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of +++ http://www. Mail: home
The message has been attached.
Database #Error -- Partial message is available! -- Error: llegal signs in
Mail-Routing -- Mail Server: ESMTP VX32.9 Version Betha Alpha
Anybody use your accounts! For further details see the attachment.
I have received your document. The corrected document is attached. greets corrected_text-file
Ich war auch ein wenig Wer konnte so etwas ahnen!? Lese selbst
Alles klaro bei dir? Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Sieh mal nach ob du den Scheiss auch bei dir drauf hast! Ist ein ziemlich
nervender Virus. Mach genau das, wie es im Text beschrieben ist! Bye
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwrter
rauszubekommen!!!
Details entnehmen Sie bitte dem Attachment NShere Informationen befinden
sich im Anhang.
*** Auto Mail Delivery System *** Ihre E-Mail konnte nicht gesendet oder
empfangen werden. Bitte attach: * End Transmission
--- Web: http://www.
--- Mail To: User-Hilfe
Passwort und Benutzername wurde erfolgreich ge Mail- Anhang: Keine verd chtigen Virus- Signaturen gefunden Ihre Benutzernamen und Passwrter befinden sich im Anhang dieser E-Mail ++++ Im www erreichbar unter: http://www. ++++ E-Mail: KundenInfo
Wegen eines Datenbank- Fehlers k Wenn Sie Unregelm
igkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank f +++ Ein Service von
Internet Provider Abuse: Wir haben festgestellt, dass Sie illegale Internet-
Seiten besuchen. Bitte beachten Sie folgende Liste:
Al final del mensaje puede haber una de las siguientes líneas:
Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
Mail- Anhang: Keine verdchtigen Virus- Signaturen gefunden
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
El mensaje viene de:
Direcciones de correo falsificadas a partir de las direcciones encontradas en el ordenador infectado o bien generadas con las siguientes palabras clave:
Webmaster,
Fehler-Info,
Administrator,
RobotMailer,
AutoMailer,
Error-Info.
Asunto - uno de los siguientes:
Hi, it's me,
Well, surprise?!
Delivery failure,
hello,
Mail server,
Illegal Website,
Mail Error,
Your Document,
Confirmation,
Bad Gateway,
Mail Authentification,
Warning!,
Info,
Database #Error,
SMTP Server,
Hi!,
damn!,
hey you,
Einzelheiten,
Hallo Du!,
Hallo!,
Hey Du,
Hi,
Ich bin's,
Ich bin es .-),
Verdammt,
Na, berrascht ,
Fehlerhafte Mailzustellung,
Mailzustellung fehlgeschlagen,
Fehler,
Illegale Zeichen in Mail-Routing,
Verbindung fehlgeschlagen,
Ungeltige Mail-Satzlõnge,
Fehler in E-Mail,
Bestõtigung,
Registrierungs-Bestõtigung,
Ihr neues Passwort, Ihr Passwort,
Datenbank-Fehler,
Warnung!,
Adjunto:
Puede ser ZIP o EXE o PIF con uno de los nombres:
Dokumente,Dokument, KurzText, Register, Service, Info, Passwort, Kundenservice, Liste,
Schwarze-Liste, Information, text, Textdocument, anitv_text, instructions,
your_article, your_passwords, messagedoc, pass-message, database, help, check_this, Police
Después de ejecutarse, el gusano se copia en la carpeta de sistema de Windows con un nombre formado mediante la combinación de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32
Abre un bloc de notas incluyendo un fichero en codificación MIME.
Por ejemplo, si C:\Windows\System es la carpeta de sistema de Windows, el nombre del virus podría ser:
C:\Windows\System\runspooldir.exe
El virus crea la siguiente clave del registro para ejecutarse con cada inicio de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce ( posiblemente una subclave)
con un valor construido con las palabras mencionadas, apuntando al ejecutable del gusano en la carpeta de sistema de Windows.
Para recoger direcciones de correo, el virus busca en los ficheros con las siguientes extensiones:
ctl, dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml, dbx.
Para enviar mensajes, el gusano utiliza dos ficheros temporales, que son versiones codificadas MIME del fichero EXE o ZIP del virus:
%SYSTEM%\winsys32xx.zzp (zip)
%SYSTEM%\winhex32xx.wrm (exe).
Desinfección:
Manual:
Encuentre y finalice el proceso (si está activo), luego elimine del sistema las claves del registro y los ficheros creados por el virus.
|
Enviale un mensaje ...
