Sober.V
PeligrosidadDañoPropagación

Efectos 

Sober.V muestra un falso mensaje de error de la aplicación WinZip Self Extractor:

Error:CRC Not completed

Metodo de Infección 

Sober.V crea los siguientes archivos:

• SMSS.EXE, SERVICES.EXE y CSRSS.EXE. Estos archivos, que son una copia del gusano, son creados en la subcarpeta CONNECTION WIZARD\ STATUS del directorio de Windows.
• PACKED1.SBR, PACKED2.SBR y PACKED3.SBR, que son copias del gusano en formato base64.

Sober.V crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WinStart = %windir%\ Connection Wizard\ status\ services.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WinStart = %windir%\ Connection Wizard\ status\ services.exe
  donde %windir% es el directorio de Windows.
  Mediante estas entradas, Sober.V consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Sober.V se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).
  
  
  MENSAJES EN INGLÉS:
  
  Asunto: uno de los siguientes:
  Your Password
  Re:
  Your email was blocked
  Registration Confirmation
  mailing error
  
  
  Contenido: uno de los siguientes:
  ok ok ok,,,,, here is it
  
  Account and Password Information are attached!
  Visit: %dirección web%
  
  This is an automatically generated E-Mail Delivery Status Notification.
  Mail-Header, Mail-Body and Error Description are attached
  
  Y añade uno de los siguientes textos, para intentar hacer creer al usuario que el mensaje no contiene ningún virus:
  Attachment-Scanner: Status OK
  AntiVirus: No Virus found
  Server-AntiVirus: No Virus (Clean)
  
  Archivo adjunto: uno de los siguientes:
  OUR_SECRET.ZIP
  MAIL_INFO.ZIP
  ERROR-MAIL_INFO.ZIP
  ACCOUNT_INFO.ZIP
  ACCOUNT_INFO-TEXT.ZIP
  
  MENSAJES EN ALEMÁN:
  
  Asunto: uno de los siguientes:
  Ihr Passwort
  Mail-Fehler!
  Ihre E-Mail wurde verweigert
  Ich bin's, was zum lachen ;)
  Glueckwunsch: Ihr WM Ticket
  WM Ticket Verlosung
  WM-Ticket-Auslosung
  
  
  Contenido: uno de los siguientes:
  Passwort und Benutzer-Informationen befinden sich in der beigefuegten
  Anlage.
  %dirección web%
  *-* MailTo: PasswordHelp
  
  
  Diese E-Mail wurde automatisch erzeugt
  Mehr Information finden Sie unter %dirección web%
  Folgende Fehler sind aufgetreten:
  Fehler konnte nicht Explicit ermittelt werden
  Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl.
  Daten gezippt & angehaengt werden.
  Wir bitten Sie, dieses zu beruecksichtigen.
  Auto ReMailer#
  
  
  Nun sieh dir das mal an
  Was ein Ferkel ....
  
  
  Herzlichen Glueckwunsch,
  beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft
  2006 in Deutschland sind Sie
  dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
  St. Rainer Gellhaus
  %dirección web%
  
  Y añade uno de los siguientes textos:
  Mail-Scanner: Es wurde kein Virus festgestellt
  AntiVirus: Kein Virus gefunden
  AntiVirus-System: Kein Virus erkannt
  
  Archivo adjunto: uno de los siguientes:
  AUTOEMAIL-TEXT.ZIP
  _PASSWORT-INFO.ZIP
  FIFA_INFO-TEXT.ZIP
  OKTICKET-INFO.ZIP
  
• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Sober.V busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones:
  ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMM, INBOX, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PHTM, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
• Sober.V envía una copia de sí mismo a todas las direcciones que ha recogido, empleando para ello su propio motor SMTP.
• Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
  .dial., .kundenserver., .ppp., .qmail@, .sul.t-, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @kaspers, @messagelab, @nai., @panda, @smtp., @sophos, @www, abuse, announce, antivir, anyone, anywhere, bellcore., bitdefender, clock, -dav, detection, domain., emsisoft, ewido., freeav, free-av, ftp., gold-certs, google, host., icrosoft., ipt.aol, law2, linux, mailer-daemon, mozilla, mustermann@, nlpmail01., noreply, nothing, ntp-, ntp., ntp@, office, password, postmas, reciver@, secure, service, smtp-, somebody, someone, spybot, sql., subscribe, support, t-dialin, test@, time, t-ipconnect, user@, variabel, verizon., viren, virus, whatever@, whoever@, winrar, winzip, you@ y yourname.

Otros Detalles  

Sober.V está escrito en el lenguaje de programación Visual Basic. Este gusano tiene un tamaño de 53544 Bytes, y está comprimido mediante UPX.