Enviar esta página Imprimir esta página Recogemos tu opinión
Panda Security » Antivirus Software » Descargar » Enciclopedia » Detalles técnicos, efectos, peligrosidad ...

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Panda Global Protection 2010

Panda Global Protection 2011

Disfruta de seguridad total y protege la integridad de tus datos.

Sober.C

 
PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Sober.C no produce efectos destructivos en el ordenador afectado. Su principal objetivo es propagarse a otros ordenadores.

Una vez es ejecutado, muestra el siguiente mensaje de error falso en pantalla:

donde %file% es el nombre del fichero que ha sido ejecutado, que transporta el gusano.

Metodo de Infección 

Sober.C crea los siguientes ficheros en el directorio de sistema de Windows:

  • Tres ficheros con nombre aleatorio, que son copias del gusano. Utiliza los siguientes nombres, entre otros: REGEAPI.EXE, CRYPTFQ.EXE y SYSHOSTX.EXE.
    Sober.C se asegura de que al menos dos de estas tres copias del gusano se encuentren en ejecución al mismo tiempo. De este modo, si uno de los procesos asociados es terminado o alguno de los ficheros es borrado, la otra copia se encargará de regenerarlo.
  • SAVESYSS.DLL. Este fichero contiene las direcciones de correo electrónico a las que se enviará el gusano.
  • HUMGLY.IKUR.
  • YFJQ.YQWM.

Sober.C crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    "%nombre entrada" = %sysdir%\%nombre fichero%
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    "%nombre entrada" = %sysdir%\%nombre fichero%
    donde %nombre entrada% es el nombre variable de la entrada creada, %sysdir% es el directorio de sistema de Windows, y %nombre fichero% es el nombre de una de las tres copias del gusano.
    Mediante estas entradas, Sober.C consigue ejecutarse cada vez que se inicia Windows.

Método de Propagación 

Sober.C se propaga a través del correo electrónico en un mensaje escrito en inglés o alemán. Para ello, realiza el siguiente proceso:

  • Llega al ordenador afectado en un mensaje con características variables:

    Remitente:
    Sober.C oculta la dirección de correo desde donde es enviado.

    Asunto: uno de los siguientes:
    A Trojan horse is on your PC
    a trojan is on your computer!
    Anime, Pokemon, Manga, ...
    Attention: To all gamers
    Caution: To all gamers
    hi, its me
    I hate you
    Preliminary investigation were started
    Registration confirmation
    registration confirmation
    Sorry, that's your mail
    Thank You very very much
    ups, i’ve got your mail
    why me?
    you are an idiot
    You use illegal File Sharing ...
    Your IP was logged

    Contenido: Consiste en varios párrafos aleatorios, que combinan varios grupos de frases. Existen diferentes formatos:

    Contenido 1:
    hello, I am from %país% and you'll don't believe me,
    but a trojan horse in on your pc.
    I've scanned the network-ports on the internet. (I know, that's illegal)
    And I have found your pc. Your pc is open on the internet for everybody!
    Because the smss.exe trojan is running on your system.
    Check this, open the task manager and try to stop that!
    You'll see, you can't stop this trojan.
    When you use win98/me you can't see the trojan!!

    On my system was this trojan, too!
    And I've found a tool to kill that bad thing.
    I hope that I've helped you!

    Sorry for my bad english!

    greets

    donde %país% puede ser uno de los siguientes: Austria, Belgium, Denmark, Norway, Spain o Switzerland.

    Contenido 2:
    Ladies and Gentlemen,
    Downloading of Movies, MP3s and Software is illegal and punishable by law.

    We hereby inform you that your computer was scanned under the IP     XXX.XXX.XXX.XXX. The contents of your computer were confiscated as an evidence, and you will be indicated.
    You get the charge in writing, in the next days.
    In the Reference code: #    ?????, are all files, that we found on your computer.

    The sender address of this mail was masked, to protect us against mail bombs.

    - You get more detailed information by the Federal Bureau of Investigation -FBI-
    - Department for "Illegal Internet Downloads", Room 7350
    - 935 Pennsylvania Avenue
    - Washington, DC 20535, USA
    - (202) 324-3000
    donde XXX.XXX.XXX.XXX es una dirección IP generada por el gusano y ???? es un número aleatorio.

    Contenido 3:
    I don't know how to start this!
    I'm dull,, can you test!?

    Contenido 4:
    I said, I love you..,, and you said NOTHING

    And now,,, Go Away From Me

    Here are my love-letter((s)) mock me mock me again and again.

    Enjoy it. blablabla GO!

    Contenido 5:
    I've got your mail, but its came on my mail address???
    i've read this mail ,,, sorry about that
    cya

    Fichero adjunto: el nombre del fichero adjunto se compone de tres elementos:
    - Un nombre de fichero aleatorio; como por ejemplo:
    ACCOUNT
    AKTENZ????    , donde ???? es un número aleatorio.
    ALLEDIGIS
    COMPUTER
    CREDIT
    DOWNLOADER
    DROHMAILS
    IDIOT
    KLASSENFOTO
    LETTERS
    MANGACONECTION
    PAINFULNESS
    PHOTOS
    REFCODE????, donde ???? es un número aleatorio.
    REMOVE-LSASS; puede añadir el sufijo _TOOL o -PATCH.
    REMOVE-SERVICES; puede añadir el sufijo _TOOL o -PATCH.
    REMOVE-SMSS; puede añadir el sufijo _TOOL o -PATCH.
    REWARD
    SET_CONFIG
    SHAREDFREE
    SYSDIAL
    TERROR-LIST
    TEST
    WWW.ANIME4ALLFREE
    WWW.ANIMEPAGE43252
    WWW.BOARDS4ALL-TEROR432
    WWW.FREE4MANGA
    WWW.FREE4SHARED4YOU
    WWW.FREEGAMES4YOU-GZONE
    WWW.FREEWANTIV
    WWW.IQ4YOU-GERMAN-TEST
    WWW.ONLINEGAMERSPRO-WORM
    WWW.TAGESPOLITIK-UMFRAGEN
    YOURMAIL
    YOURREGISTRATION
    YOUTOO
    - Una extensión previa: TXT o DOC .
    - Una extensión final: BAT, CMD, COM, EXE, PIF oSCR .
    Por ejemplo: DOWNLOADER.TXT.EXE ,PHOTOS.SCR ,REFCODE4325.DOC.PIF, etc.

    Si la extensión del dominio de las direcciones de correo son alguna de las siguientes: de, ch, at, li, nl o be, Sober.C envía los mensajes de correo en alemán. Pulse aquí para ver estos mensajes.
  • Una vez que el usuario ejecuta el fichero, el ordenador queda afectado.
  • Sober.C busca direcciones de correo electrónico en ficheros con las siguientes extensiones: ABC, ADE, ADP, ASP, CFG, DBX, DOC, DSP, DSW, EML, FDB, HLP, HTM, HTML, HTT, INI, LDB, LDIF, MDA, MDB, MDE, MDW, MHT, NAB, NAP, NFO, NSF, PHP, PST, RTF, SHTM, SHTML, SLN, TXT, VAP, WAB y XLS. Crea el archivo MSCOLMON.OCX con el objetivo de almacenar todas las direcciones que encuentra.
  • Sober.C se envía a sí mismo a todas las direcciones que ha recogido, usando su propio motor SMTP. Se valida en los servidores de correo desde los cuales se envía con el nombre MailerVB.de.

Otros Detalles  

Sober.C está escrito en el lenguaje de programación Visual Basic. El gusano tiene un tamaño alrededor de 74000 Bytes y se encuentra comprimido mediante UPX.

El tamaño puede ser mayor, ya que en ocasiones el gusano añade una sección de código sin efectos al final de su fichero.

Información actualizada:  19/04/2005 

Cloud, reinventando el antivirus

Inteligencia Colectiva En esta página puedes ver nuevos virus que están siendo analizados en tiempo real por la Inteligencia Colectiva, los virus que Cloud Antivirus está encontrando más frecuentemente en los PCs de los usuarios, o descargar gratis Cloud antivirus.

Listado de virus Todos los virus catalogados en los servidores de inteligencia colectiva de Panda Security.

Noticias e informacion

Ayuda a otros usuarios a protegerse de los virus y comparte esta información. Gracias.

Enciclopedia de Virus y Antivirus - PANDA SECURITY - Compartelo/Favoritos