Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
True
0
Efectos
Sober.AH realiza las siguientes acciones:
- Finaliza el proceso mrt.exe (Malicious Software Removal Tool) si se está ejecutando y también los procesos cuyo título de ventana contengan alguna de las siguientes cadenas:
aswclnr, avwin., brfix, fxsob, gcas, gcip, giantanti, guardgui., hijack, inetupd., microsoftanti, nod32., nod32kui, sober, s-t-i-n, s_t_i_n, stinger.
Algunos de estos procesos pertenecen a herramientas de seguridad. Si Sober.AH finaliza alguno de estos procesos, muestra el siguiente mensaje:
- Intenta conectarse a alguno de los siguientes servidores NTP, para comprobar si está conectado a Internet:
clock.psu.edu
cuckoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp-1.ece.cmu.edu
ntp1.theremailer.net
ntp-2.ece.cmu.edu
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ntp-sop.inria.fr
ptbtime2.ptb.de
Rolex.PeachNet.edu
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.xmission.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl - Muestra el siguiente mensaje de error cuando es ejecutado:
Nota:
Sober.AH está diseñado para conectarse entre los días 5 y 6 de enero de 2006 a un gran número de servidores, y así descargar un archivo malicioso al ordenador afectado.
>Metodo de Infección
Sober.AH crea los siguientes archivos:
- SERVICES.EXE en la subcarpeta WINSECURITY del directorio de Windows. Este archivo es una copia del gusano.
- CSRSS.EXE y SMSS.EXE en la subcarpeta WINSECURITY del directorio de Windows, que también son copias de gusano.
Nota: Cuando están en ejecución, los procesos asociados a estos archivos aparecen como hijos del proceso perteneciente a SERVICES.EXE. De esta manera, éste se hace pasar por un proceso legítimo de Windows, llamado de la misma forma y con las mismas dependencias, de modo que un usuario avanzado que consultara el listado de procesos podría pensar que se trata de dicho proceso legítimo. - SOCKET1.IFO, SOCKET2.IFO y SOCKET3.IFO en la subcarpeta WINSECURITY del directorio de Windows. Estos archivos son copias del gusano codificadas en formato BASE64 que enviará como archivos adjuntos.
- BBBVMWXXF.HML, FILESMS.FMS, GDFJGTHV.CVQ, LANGEINF.LIN, MSSOCK1.DLI, NONRUNSO.BER, RUBEZAHL.RUB y RUNSTOP.RST de 0 Bytes, en el directorio de sistema de Windows.
Sober.AH crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
_Windows = %windir%\ WinSecurity\ services.exe - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
[espacio en blanco]Windows = %windir%\ WinSecurity\ services.exe
donde %windir% es el directorio de Windows.
Mediante estas entradas, Sober.AH consigue ejecutarse siempre que Windows se inicia.
Método de Propagación
Sober.AH se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo electrónico escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).
MENSAJE EN INGLÉS
Remitente:
Sober.AH falsifica la dirección de correo electrónico desde la que se envía.
Asunto: puede ser uno de los siguientes:
hi, ive a new mail address
Mail delivery failed
Paris Hilton & Nicole Richie
Registration Confirmation
smtp mail failed
You visit illegal websites
Your IP was logged
Your Password
Contenido: puede ser uno de éstos:
Mensaje 1
***** Go to: http://[dominio del correo electrónico del remitente]
***** Email: postman
Mensaje 2
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!plz read and check ...cyaaaaaaa
Mensaje 3
Please answer our questions!
Steven Allison
Department Office Admin Mail Post
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
Mensaje 4
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Archivo adjunto: uno de los siguientes:
DOWNLOADM.ZIP
LIST[CARACTERES ALEATORIOS].ZIP
MAIL.ZIP
MAIL_BODY.ZIP
MAILTEXT.ZIP
QUESTION_LIST[CARACTERES ALEATORIOS].ZIP
REG_PASS.ZIP
REG_PASS-DATA.ZIP
MENSAJE EN ALEMÁN
Remitente:
Sober.AH falsifica la dirección de correo electrónico desde la que se envía.
Asunto: puede ser uno de los siguientes:
Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Contenido: puede ser uno de éstos:
Mensaje 1
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank, Ihr Ebay-Team
Mensaje 2
Aktenzeichen NR.:#
(siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Mensaje 3
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Archivo adjunto: uno de los siguientes:
[CADENA 1].ZIP
[CADENA 1]-TEXTINFO.ZIP
[CADENA 3].ZIP
[CADENA 3]_TEXT.ZIP
AKTE[CADENA 2].ZIP
[CADENA 2].ZIP
EBAY.ZIP EBAY-USER_REGC.ZIP
donde [CADENA 1] puede ser una de las siguientes: ADMIN,EMAIL.ZIP, EMAIL_TEXT.ZIP, HOSTMASTER, INFO, POSTMAN, POSTMASTER, SERVICE o WEBMASTER.
donde [CADENA 2] puede ser una de las siguientes: ANZEIGE, BKA, BKA.BUND, DOWNLOADS, INTERNET o POST.
donde [CADENA 3] puede ser una de las siguientes: AUSLOSUNG, CASTING, GEWINN, INFO, KANDIDAT, RTL, RTL-ADMIN, RTL-TV, WEBMASTER o WWM.
Los archivos adjuntos de ambos mensajes contienen el archivo FILE-PACKED_DATAINFO.EXE.
- El ordenador es afectado cuando el archivo adjunto es ejecutado.
- Sober.AH busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones:
ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMM, INBOX, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PHTM, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML. - Sober.AH envía una copia de sí mismo a todas las direcciones que ha recogido utilizando su propio motor SMTP.
- Para resolver los dominios a los que envía los mensajes de correo electrónico, Sober.AH utiliza los siguientes servidores DNS públicos:
204.127.160.3
70.85.116.133
204.60.0.3
67.18.208.130
69.93.9.167
65.98.70.107
70.85.209.148
70.84.250.212
213.218.170.6
193.174.26.133
203.178.136.36
128.8.74.2
194.87.0.9
147.28.0.39
194.231.195.79
69.20.54.201
198.87.87.38
194.206.126.200
209.68.63.250
205.166.226.38
128.83.139.9
131.215.254.100
128.9.176.32
216.194.225.70
128.135.5.5
219.127.89.34
193.158.124.143
129.115.102.150
38.9.211.2
134.94.80.2
130.149.2.12
131.215.254.100
128.194.254.2
4.2.2.3
195.185.185.195
209.68.2.46
129.186.1.200
198.6.1.2
131.243.64.3
24.93.40.33
195.182.96.29
158.43.128.1
200.74.214.246
204.117.214.10
194.25.2.129
217.237.150.225
217.237.151.161
151.201.0.39
209.253.113.2
213.239.234.108
62.156.146.242
207.69.188.186
207.217.120.43
129.187.10.25
200.52.83.103
129.187.16.1
212.242.88.2 - Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto:
.dial., .dip.t-dia, .ppp., .qmail@, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @kaspers, @messagelab, @nai., @panda, @smtp., @sophos, @www, abuse, antivir, anyone, anywhere, bellcore., bitdefender, Clock, -dav, detection, domain., emsisoft, ewido., freeav, free-av, ftp., host., icrosoft., law2, linux, mailer-daemon, mustermann@, nlpmail01., noreply, nothing, reciver@, secure, smtp-, somebody, someone, spybot, sql., user@, variabel, verizon., viren, virus, whatever@, whoever@, winrar, winzip, you@, yourname.
Otros Detalles
Sober.AH está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 55390 Bytes y está comprimido mediante UPX.
El código de Sober.AH está encriptado con un algoritmo propio.
>