Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sober.D
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Sober.D no tiene efectos destructivos. Se limita a propagarse por correo electrónico.

Sober.D muestra en pantalla los siguientes mensajes:

Si el ordenador no estaba infectado todavía, Sober.D muestra el siguiente mensaje:

donde %file% es el nombre del fichero que ha sido ejecutado.
Sin embargo, si el ordenador ya estaba afectado, se muestra en pantalla este otro mensaje:

Metodo de Infección

Sober.D crea los siguientes ficheros en el directorio de sistema de Windows:

XXXXXXX.EXE, donde XXXXXXX es un nombre de fichero aleatorio, compuesto a partir de palabras de la siguiente lista:
32, crypt, data, diag, dir, disc, explorer, host, log, run, service, smss32, spool, Sys, win.
Por ejemplo: disc, service32, runhostwin, spool32service, etc.
Este fichero es una copia del gusano.
TEMP32X.DATA. Este fichero es una copia del gusano, en formato MIME.
WINTMPX33.DAT. Este fichero, que tiene formato MIME, contiene otro fichero comprimido en formato ZIP, que a su vez contiene una copia del gusano.
MSLOGS32.DLL. Este fichero contiene las direcciones de correo electrónico que el gusano ha recogido en el ordenador afectado.
ZMNDPGWF.KXX, HUMGLY.LKUR y YFJQ.YQWM.

Sober.D crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%primera_entrada% = %sysdir%\ XXXXXXX.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
%segunda_entrada% = %sysdir%\ XXXXXXX.exe
donde %sysdir% es el directorio de sistema de Windows, XXXXXXX.exe es el nombre aleatorio del fichero del gusano y %primera_entrada% y %segunda_entrada% son nombres aleatorios distintos, compuestos a partir de palabras de la lista mencionada anteriormente.
Mediante la creación de estas dos entradas, Sober.D consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación

Sober.D se propaga a través del correo electrónico. Realiza el siguiente proceso:

Llega al ordenador afectado en un mensaje de correo escrito en inglés o alemán:

Remitente: oculta la dirección real desde la que es enviado. La dirección de correo se compone en la siguiente forma:
Una palabra de esta lista: Alert, Center, Help, Info, News, Patch, Security, Studio, UpDate.
La cadena de texto @microsoft.
La extensión de dominio de correo: .de o .at para mensajes escritos en alemán, y .com para mensajes escritos en inglés.
Por ejemplo: news@microsoft.com, help@microsoft.at, etc.

Asunto: puede estar escrito en inglés o en alemán. Tanto el asunto como el contenido se envían en alemán si la dirección de correo contiene el texto @gmx, o si la extensión del dominio de correo es una de las siguientes: de, ch, at o li.
Asunto en inglés: Microsoft Alert: Please Read!
Asunto en alemán: Microsoft Alarm: Bitte Lesen!

Contenido: puede estar escrito en inglés o en alemán:
Contenido en inglés:
New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ ®2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

Contenido en alemán:
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgõnger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefõhrlichen Trojaner!

Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schõdling zu schützen!

+++ ®2004 Microsoft Corporation. Alle Rechte vorbehalten
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Fichero adjunto: está comprimido en formato ZIP, y tiene uno de los siguientes nombres:
MS-SECURITY.ZIP
MS-UD.ZIP
PATCH.ZIP
SYS-PATCJ.ZIP
UPDATE.ZIP
Cuando el fichero es ejecutado, el ordenador quedará afectado.
Sober.D busca direcciones de correo en ficheros que tengan las siguientes extensiones: ABD, ADB, ASP, DBX, DOC, EML, INI, LOG, MDB, PHP, PL, RTF, SHTML, TBB, TXT, WAB y XLS. Crea el archivo MSLOGS32.DLL con el objetivo de almacenar todas las direcciones que encuentra.
Sober.D se envía a sí mismo a todas las direcciones que ha recogido y a todos los contactos de la Libreta de Direcciones de Windows, usando su propio motor SMTP.

Otros Detalles

Sober.D está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 33792 Bytes y está comprimido mediante UPX modificado.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info