3 may 2005

Propagación de nueva variante del gusano Sober - Hispasec - Una al día 02/05/2005

http://www.hispasec.com/unaaldia/2382

Detectado en tránsito un gran número de correos electrónicos con una

nueva variante del gusano Sober. Se recomienda a los usuarios extremen

la precaución a la hora de abrir archivos adjuntos no solicitados, en

este caso especialmente los que nos lleguen en formato ZIP con el

cuerpo del mensaje en inglés.



En primer lugar destacar a los antivirus que han detectado esta nueva

variante desde el primer instante de su aparición, bien por heurística

o firma genérica, y por tanto han protegido a sus usuarios sin

necesidad de una actualización a posteriori.



Detección proactiva:



Antivir :: Worm/Sober.gen

Dr.Web :: BACKDOOR.Trojan

NOD32 :: probably a variant of Win32/Sober

Norman :: Sober.O@mm

McAfee :: W32/Sober.gen@MM

Panda :: [TruPrevent]



A continuación los tiempos en ofrecer la actualización reactiva, a

posteriori de su aparición, con firmas de detección específicas.



Detección reactiva:



ClamAV 02.05.2005 18:39 :: Worm.Sober.P

Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p

F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm

BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm

NOD32 02.05.2005 20:15 :: Win32/Sober.O

Panda 02.05.2005 20:55 :: W32/Sober.V.worm

eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm

Antivir 02.05.2005 22:26 :: Worm/Sober.P

Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S

McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip



El gusano está programado en Visual Basic, el ejecutable original ha

ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por

correo electrónico comprimido bajo formato ZIP.



Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana

simulando un error de descompresión:



WinZip Self-Extractor

Error: CRC not complete

[OK]



Mientras que el usuario visualiza ese mensaje el gusano ya habrá

comenzado la infección del sistema. Copia en la carpeta Windows

dentro del subdirectorio \Connection Wizard\Status\ los archivos



%Windir%\Connection Wizard\Status\csrss.exe

%Windir%\Connection Wizard\Status\packed1.sbr

%Windir%\Connection Wizard\Status\packed2.sbr

%Windir%\Connection Wizard\Status\packed3.sbr

%Windir%\Connection Wizard\Status\services.exe

%Windir%\Connection Wizard\Status\smss.exe

%Windir%\Connection Wizard\Status\sacri1.ggg



Y en la carpeta de sistema de Windows los siguiente:



%System%\adcmmmmq.hjg

%System%\langeinf.lin

%System%\nonrunso.ber

%System%\seppelmx.smx

%System%\xcvfpokd.tqa



Además añade las típicas entrada en el registro de Windows para

asegurarse su ejecución en cada inicio de sistema:



" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"



tanto en

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

como en

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



Para propagarse, busca en el sistema infectado direcciones de correo

electrónico en todos los archivos con extensión:



abc

abd

abx

adb

ade

adp

adr

asp

bak

bas

cfg

cgi

cls

cms

csv

ctl

dbx

dhtm

doc

dsp

dsw

eml

fdb

frm

hlp

imb

imh

imh

imm

inbox

ini

jsp

ldb

ldif

log

mbx

mda

mdb

mde

mdw

mdx

mht

mmf

msg

nab

nch

nfo

nsf

nws

ods

oft

php

phtm

pl

pmr

pp

ppt

pst

rtf

shtml

slk

sln

stm

tbb

txt

uin

vap

vbs

vcf

wab

wsh

xhtml

xls

xml



Evita enviarse aquellas direcciones de correo electrónico que

contengan algunas de las siguientes cadenas:



-dav

.dial.

.kundenserver.

.ppp.

.qmail@

.sul.t-

@arin

@avp

@ca.

@example.

@foo.

@from.

@gmetref

@iana

@ikarus.

@kaspers

@messagelab

@nai.

@panda

@smtp.

@sophos

@www

abuse

announce

antivir

anyone

anywhere

bellcore.

bitdefender

clock

detection

domain.

emsisoft

ewido.

free-av

freeav

ftp.

gold-certs

google

host.

icrosoft.

ipt.aol

law2

linux

mailer-daemon

mozilla

mustermann@

nlpmail01.

noreply

nothing

ntp-

ntp.

ntp@

office

password

postmas

reciver@

secure

service

smtp-

somebody

someone

spybot

sql.

subscribe

support

t-dialin

t-ipconnect

test@

time

user@

variabel

verizon.

viren

virus

whatever@

whoever@

winrar

winzip

you@

yourname



Para enviarse por correo electrónico, en primer lugar examina la dirección

a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o

.LI se envía con textos en alemán, para el resto de direcciones lo hará

en inglés.



El archivo adjunto puede ser uno de los siguientes:





_PassWort-Info.zip

account_info.zip

account_info-text.zip

autoemail-text.zip

error-mail_info.zip

free_PassWort-Info.zip

Fifa_Info-Text.zip

LOL.zip

mail_info.zip

okTicket-info.zip

our_secret.zip



El remite lo elige entre:



Admin

Hostmaster

Info

Postmaster

Register

Service

Webmaster



Mientras que el asunto podrá ser alguno de los siguientes:



mailing error

Re:

Registration Confirmation

Your email was blocked

Your Password



Y en el caso de la versión en alemán:



Glueckwunsch: Ihr WM Ticket

Ich bin's, was zum lachen ;)

Ihr Passwort

Ihre E-Mail wurde verweigert

Mail-Fehler!

WM Ticket Verlosung

WM-Ticket-Auslosung





En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:



ok ok ok,,,,, here is it



Account and Password Information are attached!

Visit: http:/ /www.[dominio]



This is an automatically generated E-Mail Delivery Status Notification.

Mail-Header, Mail-Body and Error Description are attached



Con una línea al final que elige entre:



Attachment-Scanner: Status OK

AntiVirus: No Virus found

Server-AntiVirus: No Virus (Clean)

http:/ / www.[dominio]





Mientras que en la versión en alemán los textos pueden ser:



Passwort und Benutzer-Informationen befinden sich in der beigefuegten

Anlage.

http:/ /www.[dominio]

*-* MailTo: PasswordHelp





Diese E-Mail wurde automatisch erzeugt

Mehr Information finden Sie unter http://www.[dominio]

Folgende Fehler sind aufgetreten:

Fehler konnte nicht Explicit ermittelt werden

Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail

incl. Daten gezippt & angehaengt werden.

Wir bitten Sie, dieses zu beruecksichtigen.

Auto ReMailer#





Nun sieh dir das mal an

Was ein Ferkel ....





Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets fr die 64 Spiele der

Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details

ihrer Daten entnehmen Sie bitte dem Anhang.



St. Rainer Gellhaus

--- Pressesprecher Jens Grittner und Gerd Graus

--- FIFA Fussball-Weltmeisterschaft 2006

--- Organisationskomitee Deutschland

--- Tel. 069 / 2006 - 2600

--- [email protected]

--- [email protected]



Con una línea final que elige entre:



Mail-Scanner: Es wurde kein Virus festgestellt

AntiVirus: Kein Virus gefunden

AntiVirus-System: Kein Virus erkannt

WebSite: http://www.[dominio]

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!