nombre: Win32/Sober.R
aliases: Sober.R, BACKDOOR.Trojan, Email-Worm.Win32.VB.ba, I-Worm.Sober.U, Trojan-PSW.Win32.VB.gr, W32.Sober.Q, W32.Sober.Q@mm, W32/Sober.R@mm, W32/Sober.r@MM, W32/Sober.Y.worm, W32/Sober-O, Win32.Sober.P, Win32.Sober.S@mm, Win32/Sober, Win32/Sober.R, Worm.Sober.R, Worm/Sober.Q, WORM_SOBER.AC
tipo: Gusano de Internet
fecha: 05/10/2005
tamaño: 113,551 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
INFORMACION
Gusano que se propaga por correo electrónico. Utiliza su propio motor SMTP para enviarse a todas las direcciones de correo electrónico encontradas en el equipo infectado. El mensaje puede estar en inglés o alemán. El envío masivo de mensajes, afecta notoriamente el rendimiento de la conexión a Internet del usuario infectado.
> CARACTERISTICAS
Esta variante fue detectada por primera vez el 5 de octubre de 2005, y NOD32 la detecta desde el primer momento como una variante modificada del Win32/Sober sin necesidad de actualización.
Cuando el gusano se ejecuta, se muestra una falsa ventana de error con el siguiente texto:
Error
Error in packed file!
CRC Header must be $7ff8
[ OK ]
Crea la carpeta "ConnectionStatus" y los siguientes archivos en el sistema:
c:windowsConnectionStatusservices.exe
c:windowsConnectionStatusnetslot.nst
c:windowsConnectionStatussocket.dli
c:windowssystem32bbvmwxxf.hml
c:windowssystem32gdfjgthv.cvq
c:windowssystem32langeinf.lin
c:windowssystem32nonrunso.ber
c:windowssystem32rubezahl.rub
c:windowssystem32seppelmx.smx
De acuerdo a la versión del sistema operativo, las carpetas "c:windows" y "c:windowssystem32" pueden variar ("c:winnt", "c:winntsystem32", "c:windowssystem").
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKCUSOFTWAREMicrosoft
WindowsCurrentVersionRun
_WinINet = "c:windowsConnectionStatusservices.exe"
HKLMSOFTWAREMicrosoft
WindowsCurrentVersionRun
WinINet = "c:windowsConnectionStatusservices.exe"
Esta versión mantiene varios procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro.
El gusano utiliza su propio motor SMTP para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Las direcciones seleccionados, son las que tengan los siguientes dominios:
.at
.com
.ch
.de
.net
Evita aquellas direcciones que contengan las siguientes cadenas en su nombre:
aero
com
coop
edu
gov
info
int
museum
name
net
org
pro
El remitente siempre es falso y es seleccionado al azar de la lista de direcciones a las que el gusano se envía.
El gusano envía sus mensajes en alemán, cuando la dirección del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.
Los mensajes que utiliza para enviarse tienen las siguientes características:
Mensajes en inglés:
De: [remitente falso]
Asunto:
Your new Password
Texto del mensaje:
Your password was successfully changed!
Please see the attached file for detailed information
Datos adjuntos:
pword_change.zip
Mensaje en alemán:
De: [remitente falso]
Asunto:
Fwd: Klassentreffen
Texto del mensaje:
hi,
ich hoffe jetzt mal das ich endlich die richtige person
erwischt habe! ich habe jedenfalls mal unser klassenfoto
von damals mit angehngt. wenn du dich dort
wiedererkennst, dann schreibe unbedingt zurck!! wenn
ich aber wieder mal die falsche person erwischt habe,
dann sorry fr die belstigung 
liebe gr
[nombre]
Datos adjuntos:
KlassenFoto.zip
En ambos casos, el archivo .ZIP contiene el ejecutable del gusano, con el siguiente nombre:
PW_Klass.Pic.packed-bitmap.exe
El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto.
Este gusano está programado en Visual Basic 6.0.
> INSTRUCCIONES PARA ELIMINARLO
Future Time S.r.l., distribuidor italiano de NOD32, ha publicado una herramienta gratuita para desinfectar ordenadores afectados por este gusano sin necesidad de realizar pasos manuales y que puede ser descargada desde la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", las entradas "_WinINet" y "_WinINet", en las siguientes claves del registro:
HKCUSoftwareMicrosoftWindows
CurrentVersionRun
HKLMSoftwareMicrosoftWindows
CurrentVersionRun
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
------------------------------------------------------------------------------------------------------------------------------
nombre: Win32/Spy.Zbot.CU
aliases: Trojan-Spy.Win32.Zbot.idk, Trojan-Spy:W32/Zbot.AAR, Mal/EncPk-CZ, Win32/Spy.Zbot.CU, TR/Spy.ZBot.idk
tipo: Troyano
fecha: 27/12/2008
gravedad general:
distribución:
daño:
destructivo: No
origen: Desconocido
nombre asignado por: ESET
> INFORMACION
Troyano que crea una puerta trasera en el equipo infectado.
> CARACTERISTICAS
Cuando el troyano se ejecuta crea el siguiente archivo:
c:windowssystem32twext.exe
Modifica la siguiente clave del registro para ejecutarse en cada reinicio del sistema:
HKLMsoftwaremicrosoftwindows nt
currentversionwinlogon
"userinit"="%SYSDIR%userinit.exe,%SYSDIR%twext.exe,"
Se conecta a una dirección de internet y descarga el archivo "4.tmp" en la carpeta temporal de Windows. Luego dicho archivo es ejecutado, este abre una puerta trasera y se comunica a un sitio enviando información.
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. En Windows NT, 2000 y XP, abra la siguiente clave del registro:
HKLMSOFTWAREMicrosoftWindows NT
CurrentVersionWinlogon
6. Modifique bajo la columna "Nombre", la entrada "Shell", para que solo contenga lo siguiente:
"userinit"="%SYSDIR%userinit.exe,"
7. Cierre el editor del Registro del sistema.
8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
