Email-Worm.Win32.Sober.y

Estás en Inicio: Soporte Técnico: Alertas de Virus: Email-Worm.Win32.Sober.y

Email-Worm.Win32.Sober.y« Volver al listado de Virus

Detalles:

Este gusano se propaga vía Internet como archivo adjunto a los mensajes infectados. Luego se reenvía a las direcciones encontradas en los ordenadores infectados.

El gusano es un archivo ejecutable .EXE para Windows cuyo tamaño es de 55390 bytes, esta escrito en Visual Basic y comprimido en UPX. Descomprimido el archivo tiene un tamaño de 198750 bytes.

Instalación y Propagación:

Una vez ejecutado, el gusano hace que aparezca por pantalla un falso mensaje de error.

Al instalarse, el gusano crea una carpeta nombrada "WinSecurity" en el directorio raíz de Windows. Se copia 3 veces en esta carpeta utilizando los siguientes nombres:

%Windir%\WinSecurity\csrss.exe
%Windir%\WinSecurity\services.exe
%Windir%\WinSecurity\smss.exe

El gusano también crea los archivos siguientes en la misma carpeta:

%Windir%\WinSecurity\mssock1.dli
%Windir%\WinSecurity\mssock2.dli
%Windir%\WinSecurity\mssock3.dli
%Windir%\WinSecurity\winmem1.ory
%Windir%\WinSecurity\winmem2.ory
%Windir%\WinSecurity\winmem3.ory

Las direcciones del email encontradas en la máquina infectada se almacenan en estos archivos.

El gusano añade estas entradas en el registro del sistema, para asegurarse que se ejecuta con cada reinicio del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows" = "%Windir%\WinSecurity\services.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%Windir%\WinSecurity\services.exe"

El gusano también crea copias de sí mismo en base64. Las copias tienen los nombres siguientes:

%Windir%\WinSecurity\socket1.ifo
%Windir%\WinSecurity\socket2.ifo
%Windir%\WinSecurity\socket3.ifo

El gusano también crea archivos vacíos en el directorio del sistema de Windows. Los archivos vacíos tienen los nombres siguientes:

%System%\bbvmwxxf.hml
%System%\filesms.fms
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\rubezahl.rub
%System%\runstop.rst

El gusano busca direcciones de correo electrónico para luego reenviarse en los archivos con las siguientes extensiones:
abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

El gusano no se reenvia a direcciones que contienen las secuencias de texto siguientes:

aero
com
coop
edu
gov
info
int
museum
name
net
org
pro

Email-Worm.Win32.Sober.y detiene los procesos cuyos nombres contienen alguna de las estas secuencias:

aswclnr
avwin.
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd.
microsoftanti
nod32.
nod32kui
s_t_i_n
sober
s-t-i-n
stinger

También busca y detiene el proceso "MRT.EXE" (Herramienta de Microsoft para la detección de software malicioso).

Correo electrónico infectado:

El archivo adjunto viene comprimido en .ZIP el cual contiene el ejecutable infectado. Este puede utilizar alguno de los siguientes nombres:

admin.zip
akte.zip
downloadm.zip
ebay.zip
email.zip
email_text.zip
hostmaster.zip
info.zip
list.zip
mail.zip
mail_body.zip
mailtext.zip
postman.zip
postmaster.zip
question_list.zip
reg_pass.zip
reg_pass-data.zip
service.zip
webmaster.zip

El campo del remitente puede contener las siguientes secuencias:

.at
.ch
.de
.gmx
.li

@bka
@cia
@fbi
@rtl

Asunto del mensaje:

* Account Information
* Ermittlungsverfahren wurde eingeleitet
* hi, ive a new mail address
* Ihr Passwort
* Mail delivery failed
* Mailzustellung wurde unterbrochen
* Paris Hilton & Nicole Richie
* Registration Confirmation
* RTL: Wer wird Millionaer
* Sehr geehrter Ebay-Kunde
* Sie besitzen Raubkopien
* smtp mail failed
* SMTP Mail gescheitert
* You visit illegal websites
* Your IP was logged
* Your Password

Aquí tienen un ejemplo de un correo infectado.

Desinfección:

La protección frente al virus Email-Worm.Win32.Sober.y ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.

Para desinfectarlo actualice las bases antivirus y proceda a ejecutar el escáner del Kaspersky Antivirus.

Compruebe que tiene actualizado su sistema utilizando la herramienta de Microsoft Windows Update.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escáner del antivirus a soporte@codine.es.