Efectos 

Sober.D no tiene efectos destructivos. Se limita a propagarse por correo electrónico.

Sober.D muestra en pantalla los siguientes mensajes:

• Si el ordenador no estaba infectado todavía, Sober.D muestra el siguiente mensaje:
  
  
  
  
  donde %file% es el nombre del fichero que ha sido ejecutado.
• Sin embargo, si el ordenador ya estaba afectado, se muestra en pantalla este otro mensaje:
  
  
  

Metodo de Infección 

Sober.D crea los siguientes ficheros en el directorio de sistema de Windows:

• XXXXXXX.EXE, donde XXXXXXX es un nombre de fichero aleatorio, compuesto a partir de palabras de la siguiente lista:
  32, crypt, data, diag, dir, disc, explorer, host, log, run, service, smss32, spool, Sys, win.
  Por ejemplo: disc, service32, runhostwin, spool32service, etc.
  Este fichero es una copia del gusano.
• TEMP32X.DATA. Este fichero es una copia del gusano, en formato MIME.
• WINTMPX33.DAT. Este fichero, que tiene formato MIME, contiene otro fichero comprimido en formato ZIP, que a su vez contiene una copia del gusano.
• MSLOGS32.DLL. Este fichero contiene las direcciones de correo electrónico que el gusano ha recogido en el ordenador afectado.
• ZMNDPGWF.KXX, HUMGLY.LKUR y YFJQ.YQWM.

Sober.D crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  %primera_entrada% = %sysdir%\ XXXXXXX.exe
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
  %segunda_entrada% = %sysdir%\ XXXXXXX.exe
  donde %sysdir% es el directorio de sistema de Windows, XXXXXXX.exe es el nombre aleatorio del fichero del gusano y %primera_entrada% y %segunda_entrada% son nombres aleatorios distintos, compuestos a partir de palabras de la lista mencionada anteriormente.
  Mediante la creación de estas dos entradas, Sober.D consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación 

Sober.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador afectado en un mensaje de correo escrito en inglés o alemán:
  
  Remitente: oculta la dirección real desde la que es enviado. La dirección de correo se compone en la siguiente forma:
  Una palabra de esta lista: Alert, Center, Help, Info, News, Patch, Security, Studio, UpDate.
  La cadena de texto @microsoft.
  La extensión de dominio de correo: .de o .at para mensajes escritos en alemán, y .com para mensajes escritos en inglés.
  Por ejemplo: news@microsoft.com, help@microsoft.at, etc.
  
  Asunto: puede estar escrito en inglés o en alemán. Tanto el asunto como el contenido se envían en alemán si la dirección de correo contiene el texto @gmx, o si la extensión del dominio de correo es una de las siguientes: de, ch, at o li.
  Asunto en inglés: Microsoft Alert: Please Read!
  Asunto en alemán: Microsoft Alarm: Bitte Lesen!
  
  Contenido: puede estar escrito en inglés o en alemán:
  Contenido en inglés:
  New MyDoom Virus Variant Detected!
  
  A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
  Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
  The worm also has a backdoor Trojan capability.
  By default, the Trojan component listens on port 13468.
  
  Protection:
  Please download this digitally signed attachment.
  This Update includes the functionality of previously released patches.
  
  +++ ®2004 Microsoft Corporation. All rights reserved.
  +++ One Microsoft Way, Redmond, Washington 98052
  +++ Restricted Rights at 48 CFR 52.227-19
  
  Contenido en alemán:
  Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
  
  Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
  Wie seine Vorgõnger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
  Zudem installiert er auf infizierten Systemen einen gefõhrlichen Trojaner!
  
  Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
  
  Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schõdling zu schützen!
  
  +++ ®2004 Microsoft Corporation. Alle Rechte vorbehalten
  +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
  +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
  
  
  Fichero adjunto: está comprimido en formato ZIP, y tiene uno de los siguientes nombres:
  MS-SECURITY.ZIP
  MS-UD.ZIP
  PATCH.ZIP
  SYS-PATCJ.ZIP
  UPDATE.ZIP
• Cuando el fichero es ejecutado, el ordenador quedará afectado.
• Sober.D busca direcciones de correo en ficheros que tengan las siguientes extensiones: ABD, ADB, ASP, DBX, DOC, EML, INI, LOG, MDB, PHP, PL, RTF, SHTML, TBB, TXT, WAB y XLS. Crea el archivo MSLOGS32.DLL con el objetivo de almacenar todas las direcciones que encuentra.
• Sober.D se envía a sí mismo a todas las direcciones que ha recogido y a todos los contactos de la Libreta de Direcciones de Windows, usando su propio motor SMTP.

Otros Detalles  

Sober.D está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 33792 Bytes y está comprimido mediante UPX modificado.