Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Sober.I

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Sober.I no tiene efectos destructivos. Su único objetivo es propagarse.

Metodo de Infección 

Sober.I crea los siguientes archivos en el directorio de sistema de Windows:

  • Dos componentes adicionales del gusano, que tendrán un nombre aleatorio compuesto a partir de palabras de la siguiente lista:
    sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.
    Por ejemplo: logsys.exe, syssmss32.exe, data32service, win32, runlog, etc.
  • CLONZIPS.SSC y ZIPPEDSR.PIZ. Estos archivos en formato MIME son copias del gusano, comprimidas en formato ZIP.
  • CLSOBERN.ISC y NONZIPSR.NOZ. Estos archivos son copias del gusano en formato MIME.
  • WINROOT64.DAL, WINSEND32.DAL, WINMPROT.DAL y WINEXERUN.DAL. Estos archivos contienen direcciones de correo electrónico a las que Sober.I enviará una copia de sí mismo.
  • CVQAIKXT.APK, DGSSXY.YOI, ODIN-ANON.GER, SYSMMS32.LLA y SB2RUN.DII. El tamaño de estos archivos es 0 Bytes, generalmente.

Sober.I crea las siguientes entradas en las siguientes rutas del Registro de Windows:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Los nombres y valores de la entrada tienen las siguientes estructuras:

  • %entrada% = %sysdir%\ %archivo1% %srun%
  • %entrada% = %sysdir%\ %archivo2%
    donde %sysdir% es el directorio de sistema de Windows, %entrada% es un nombre aleatorio, creado a partir de la lista indicada anteriormente, y distinto para cada entrada, y %archivo1% y %archivo2% son los nombres aleatorios de los componentes adicionales del gusano.
    Mediante estas entradas, Sober.I consigue que sus dos componentes adicionales sean ejecutados cada vez que Windows se inicia.

Nota: A título puramente descriptivo, a continuación se indican algunos posibles ejemplos de entradas creadas:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    cryptx = %sysdir%\Syssmss32.exe %srun%
  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    winspool = %sysdir%\logsys.exe
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    cryptlogx = %sysdir%\Syssmss32.exe %srun%
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    service = %sysdir%\logsys.exe

Método de Propagación 

Sober.I se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo escrito en inglés o alemán.

    Asunto: puede estar escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la dirección de correo contiene la cadena de texto @gmx o si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).


    Notas preliminares:
    Todos los asuntos pueden tener componentes adicionales:
    - Posibles prefijos: Fwd:, Re:.
    - Posibles sufijos: una de estas cadenas: Error_:, Smtp:, Esmtp:, seguidas de un número aleatorio de 4 cifras.
    Los archivos adjuntos pueden llegar comprimidos en un archivo ZIP.

    MENSAJE INGLÉS 1:
    Asunto:
    Confirmation
    Registration confirmation
    Your mail password
    Your Password

    Mensaje: es variable, y consiste en partes variables y elementos fijos:
    1) Una de estas frases:
    Protected message is attached!
    Your password was changed successfully!
    2) Elemento fijo (dos líneas):
    ++++++ User-Service: http://www.%dominio de correo del remitente%
    ++++++ MailTo: postmaster@sysinternals.com
    3) (Opcional) Tres líneas:
    *-*-* Attachment: No Virus found
    *-*-* %dominio de correo del destinatario%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del destinatario%

    Archivo adjunto: se compone del siguiente modo:
    %dominio de correo del destinatario% + Opcional número de 4 cifras + Primera extensión + Segunda extensión
    Posibles primeras extensiones: DOC, EML, TXT, WORD, XLS.
    Posibles segundas extensiones: BAT, COM, PIF, SCR.
    Por ejemplo: HOTMAIL3587.TXT.COM, YAHOO.XLS.SCR, etc.

    MENSAJE INGLÉS 2:
    Asunto: uno de los siguientes:
    Delivery_failure_notice
    Faulty_mail delivery
    illegal signs in your mail
    invalid mail
    mail delivery system
    Mail delivery_failed
    Mail Error
    Mail_Delivery_failure

    Contenido: hasta tres contenidos distintos, cada uno de ellos variable:
    Primer contenido:
    This mail was generated automatically.
    More info about --%dominio del remitente sin extensión y en mayúsculas%-- under: http://www.%dominio de correo del remitente%

    Segundo contenido: consiste en partes variables y elementos fijos:
    1) Elemento fijo:
    Occured_Errors:
    2) Una de estas frases:
    %IP aleatoria% _failed_after_I_sent_the_message.
    %IP aleatoria% _does_not_like_recipient.
    %IP aleatoria% _does_not_like_sender.
    3) (Opcional) Hasta 5 de las siguientes frases, en cualquier orden:
    # %Número de 3 cifras%: Giving_up_on_%IP aleatoria%
    # %Número de 3 cifras%: mailbox_unavailable
    # %Número de 3 cifras%: This_account_has_been_disabled_[#%Número de 3 cifras%].
    # %Número de 3 cifras%: This_account_has_been_discontinued_[#%Número de 3 cifras%].
    # %Número de 3 cifras%: Remote_host_said: _Requested_action_not_taken
    # %Número de 3 cifras%: Remote_host_said: _delivery_error
    # %Número de 3 cifras%: MAILBOX NOT FOUND
    4) Elemento fijo:
    End

    Tercer contenido:
    1) Elemento fijo:
    The corrected mail is attached.
    Auto_Mail.System: [%dominio de correo del remitente sin extensión%]
    2) (Opcional) Una de las siguientes frases:
    *-*-* Mail_Scanner: No Virus
    *-*-* Attachment: No Virus found
    3) (Opcional) El siguiente texto:
    *-*-* %dominio de correo del remitente sin extensión y en mayúsculas%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del remitente%

    Archivo adjunto:
    Opcional dominio del remitente + elemento de la lista1 + Opcional número de 4 cifras + Primera extensión + Segunda extensión
    donde lista1 es: Re_mail, Auto_mail o Mail.
    Posibles primeras extensiones: DOC, EML, TXT, WORD, XLS.
    Posibles segundas extensiones: BAT, COM, PIF, SCR.
    Por ejemplo: HOTMAILRE_MAIL.DOC.PIF, AUTO_MAIL5896.WORD.COM, etc.

    MENSAJE INGLÉS 3:
    Asunto: uno de los siguientes:
    Details
    Oh God it's

    Contenido: es variable:
    1) Elemento fijo (dos líneas):
    I was surprised, too!
    Who_could_suspect_something_like_that? shityiiiii
    2) Opcional: una de estas frases:
    *-*-* Mail_Scanner: No Virus
    *-*-* Attachment: No Virus found
    3) Opcional elemento fijo (dos líneas):
    *-*-* %dominio de correo del destinatario, sin extensión y en mayúsculas%- Anti_Virus Service
    *-*-* http://www.%dominio de correo del destinatario%

    Archivo adjunto:
    Opcional elemento de lista2 + Opcional número de 4 cifras + Opcional elemento de lista1 + Segunda extensión
    Elementos de lista2: im_shocked, oh_nono, thats_hard.


    Posibles asuntos en alemán:
    Richter unterstuetzt kriminelle Auslaenderin

  • El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
  • Sober.I busca direcciones de correo electrónico en archivos con las siguientes extensiones: ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DB, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMH, IMM, INBOX, INI, JSP, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
  • Sober.I envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
  • Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto:
    .dial., .kundenserver., .ppp., .qmail@, .sul.t-, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @messagelab, @msn, @nai., @panda, @smtp., @sophos, @spiegel., @www, abuse, announce, antivir, anyone, anywhere, bellcore., bitdefender, clock, detection, emsisoft, ewido., freeav, free-av, ftp., gold-certs, google, host., icrosoft., ipt.aol, kaspers, law2, linux, mailer-daemon, me@, mozilla, msdn., mustermann@, nlpmail01., noreply, nothing, ntp-, ntp@, office, password, postmas, reciver@, redaktion, secure, service, smtp-, somebody, someone, spybot, sql., subscribe, support, t-dialin, time, t-ipconnect, user@, variabel, verizon., viren, virus, whatever@, whoever@, winrardomain., winzip, you@ y yourname.

Otros Detalles  

Sober.I está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 56808 Bytes, y está comprimido mediante UPX.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info