Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Sober.C no produce efectos destructivos en el ordenador afectado. Su principal objetivo es propagarse a otros ordenadores.
Una vez es ejecutado, muestra el siguiente mensaje de error falso en pantalla:
donde %file% es el nombre del fichero que ha sido ejecutado, que transporta el gusano.
Metodo de Infección
Sober.C crea los siguientes ficheros en el directorio de sistema de Windows:
Tres ficheros con nombre aleatorio, que son copias del gusano. Utiliza los siguientes nombres, entre otros: REGEAPI.EXE, CRYPTFQ.EXE y SYSHOSTX.EXE.
Sober.C se asegura de que al menos dos de estas tres copias del gusano se encuentren en ejecución al mismo tiempo. De este modo, si uno de los procesos asociados es terminado o alguno de los ficheros es borrado, la otra copia se encargará de regenerarlo.
Sober.C crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
"%nombre entrada" = %sysdir%\%nombre fichero%
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
"%nombre entrada" = %sysdir%\%nombre fichero%
donde %nombre entrada% es el nombre variable de la entrada creada, %sysdir% es el directorio de sistema de Windows, y %nombre fichero% es el nombre de una de las tres copias del gusano.
Mediante estas entradas, Sober.C consigue ejecutarse cada vez que se inicia Windows.
Método de Propagación
Sober.C se propaga a través del correo electrónico en un mensaje escrito en inglés o alemán. Para ello, realiza el siguiente proceso:
- Llega al ordenador afectado en un mensaje con características variables:
Remitente:
Sober.C oculta la dirección de correo desde donde es enviado.
Asunto: uno de los siguientes:
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Attention: To all gamers
Caution: To all gamers
hi, its me
I hate you
Preliminary investigation were started
Registration confirmation
registration confirmation
Sorry, that's your mail
Thank You very very much
ups, i’ve got your mail
why me?
you are an idiot
You use illegal File Sharing ...
Your IP was logged
Contenido: Consiste en varios párrafos aleatorios, que combinan varios grupos de frases. Existen diferentes formatos:
Contenido 1:
hello, I am from %país% and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the smss.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english!
greets
donde %país% puede ser uno de los siguientes: Austria, Belgium, Denmark, Norway, Spain o Switzerland.
Contenido 2:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.
We hereby inform you that your computer was scanned under the IP XXX.XXX.XXX.XXX. The contents of your computer were confiscated as an evidence, and you will be indicated.
You get the charge in writing, in the next days.
In the Reference code: #?????, are all files, that we found on your computer.
The sender address of this mail was masked, to protect us against mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000
donde XXX.XXX.XXX.XXX es una dirección IP generada por el gusano y ???? es un número aleatorio.
Contenido 3:
I don't know how to start this!
I'm dull,, can you test!?
Contenido 4:
I said, I love you..,, and you said NOTHING
And now,,, Go Away From Me
Here are my love-letter((s)) mock me mock me again and again.
Enjoy it. blablabla GO!
Contenido 5:
I've got your mail, but its came on my mail address???
i've read this mail ,,, sorry about that
cya
Fichero adjunto: el nombre del fichero adjunto se compone de tres elementos:
- Un nombre de fichero aleatorio; como por ejemplo:
ACCOUNT
AKTENZ????, donde ???? es un número aleatorio.
ALLEDIGIS
COMPUTER
CREDIT
DOWNLOADER
DROHMAILS
IDIOT
KLASSENFOTO
LETTERS
MANGACONECTION
PAINFULNESS
PHOTOS
REFCODE????, donde ???? es un número aleatorio.
REMOVE-LSASS; puede añadir el sufijo _TOOL o -PATCH.
REMOVE-SERVICES; puede añadir el sufijo _TOOL o -PATCH.
REMOVE-SMSS; puede añadir el sufijo _TOOL o -PATCH.
REWARD
SET_CONFIG
SHAREDFREE
SYSDIAL
TERROR-LIST
TEST
WWW.ANIME4ALLFREE
WWW.ANIMEPAGE43252
WWW.BOARDS4ALL-TEROR432
WWW.FREE4MANGA
WWW.FREE4SHARED4YOU
WWW.FREEGAMES4YOU-GZONE
WWW.FREEWANTIV
WWW.IQ4YOU-GERMAN-TEST
WWW.ONLINEGAMERSPRO-WORM
WWW.TAGESPOLITIK-UMFRAGEN
YOURMAIL
YOURREGISTRATION
YOUTOO
- Una extensión previa: TXT o DOC .
- Una extensión final: BAT, CMD, COM, EXE, PIF oSCR .
Por ejemplo: DOWNLOADER.TXT.EXE ,PHOTOS.SCR ,REFCODE4325.DOC.PIF, etc.
Si la extensión del dominio de las direcciones de correo son alguna de las siguientes: de, ch, at, li, nl o be, Sober.C envía los mensajes de correo en alemán. Pulse aquí para ver estos mensajes. - Una vez que el usuario ejecuta el fichero, el ordenador queda afectado.
- Sober.C busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ABC, ADE, ADP, ASP, CFG, DBX, DOC, DSP, DSW, EML, FDB, HLP, HTM, HTML, HTT, INI, LDB, LDIF, MDA, MDB, MDE, MDW, MHT, NAB, NAP, NFO, NSF, PHP, PST, RTF, SHTM, SHTML, SLN, TXT, VAP, WAB y XLS. Crea el archivo MSCOLMON.OCX con el objetivo de almacenar todas las direcciones que encuentra.
- Sober.C se envía a sí mismo a todas las direcciones que ha recogido, usando su propio motor SMTP. Se valida en los servidores de correo desde los cuales se envía con el nombre MailerVB.de.
Otros Detalles
Sober.C está escrito en el lenguaje de programación Visual Basic. El gusano tiene un tamaño alrededor de 74000 Bytes y se encuentra comprimido mediante UPX.
El tamaño puede ser mayor, ya que en ocasiones el gusano añade una sección de código sin efectos al final de su fichero.