Propagación de nueva variante del gusano Sober

n primer lugar destacar a los antivirus que han detectado esta nueva variante desde el primer instante de su aparición, bien por heurística o firma genérica, y por tanto han protegido a sus usuarios sin necesidad de una actualización a posteriori.

Detección proactiva:

Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober
Norman :: Sober.O@mm
McAfee :: W32/Sober.gen@MM
Panda :: [TruPrevent]

A continuación los tiempos en ofrecer la actualización reactiva, a
posteriori de su aparición, con firmas de detección específicas.

Detección reactiva:

ClamAV 02.05.2005 18:39 :: Worm.Sober.P
Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p
F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm
BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O
Panda 02.05.2005 20:55 :: W32/Sober.V.worm
eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm
Antivir 02.05.2005 22:26 :: Worm/Sober.P
Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S
McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip

El gusano está programado en Visual Basic, el ejecutable original ha ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por correo electrónico comprimido bajo formato ZIP.

Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana
simulando un error de descompresión:

WinZip Self-Extractor
Error: CRC not complete
[OK]

Mientras que el usuario visualiza ese mensaje el gusano ya habrá
comenzado la infección del sistema. Copia en la carpeta Windows
dentro del subdirectorio \Connection Wizard\Status\ los archivos

%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg

Y en la carpeta de sistema de Windows los siguiente:

%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

Además añade las típicas entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

tanto en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
como en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Para propagarse, busca en el sistema infectado direcciones de correo electrónico en todos los archivos con extensión:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Evita enviarse aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Para enviarse por correo electrónico, en primer lugar examina la dirección a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o .LI se envía con textos en alemán, para el resto de direcciones lo hará en inglés.

El archivo adjunto puede ser uno de los siguientes:


_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
free_PassWort-Info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

El remite lo elige entre:

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Mientras que el asunto podrá ser alguno de los siguientes:

mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password

Y en el caso de la versión en alemán:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen ;)
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung


En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached

Con una línea al final que elige entre:

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[dominio]


Mientras que en la versión en alemán los textos pueden ser:

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp


Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#


Nun sieh dir das mal an
Was ein Ferkel ....


Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details
ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Con una línea final que elige entre:

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www.[dominio]