Efectos 

Sober.AH realiza las siguientes acciones:

• Finaliza el proceso mrt.exe (Malicious Software Removal Tool) si se está ejecutando y también los procesos cuyo título de ventana contengan alguna de las siguientes cadenas:
  aswclnr, avwin., brfix, fxsob, gcas, gcip, giantanti, guardgui., hijack, inetupd., microsoftanti, nod32., nod32kui, sober, s-t-i-n, s_t_i_n, stinger.
  Algunos de estos procesos pertenecen a herramientas de seguridad. Si Sober.AH finaliza alguno de estos procesos, muestra el siguiente mensaje:
  
  
• Intenta conectarse a alguno de los siguientes servidores NTP, para comprobar si está conectado a Internet:
  clock.psu.edu
  cuckoo.nevada.edu
  gandalf.theunixman.com
  nist1.datum.com
  ntp.lth.se
  ntp.massayonet.com.br
  ntp.metas.ch
  ntp.pads.ufrj.br
  ntp0.cornell.edu
  ntp1.arnes.si
  ntp-1.ece.cmu.edu
  ntp1.theremailer.net
  ntp-2.ece.cmu.edu
  ntp2.ien.it
  ntp2b.mcc.ac.uk
  ntp2c.mcc.ac.uk
  ntp3.fau.de
  ntps1-1.uni-erlangen.de
  ntp-sop.inria.fr
  ptbtime2.ptb.de
  Rolex.PeachNet.edu
  rolex.usg.edu
  st.ntp.carnet.hr
  sundial.columbia.edu
  swisstime.ethz.ch
  tick.greyware.com
  time.chu.nrc.ca
  time.ien.it
  time.kfki.hu
  time.mit.edu
  time.nist.gov
  time.nrc.ca
  time.xmission.com
  time-a.timefreq.bldrdoc.gov
  time-ext.missouri.edu
  timelord.uregina.ca
  tock.keso.fi
  utcnist.colorado.edu
  vega.cbk.poznan.pl
• Muestra el siguiente mensaje de error cuando es ejecutado:
  
  

  

Nota:
Sober.AH está diseñado para conectarse entre los días 5 y 6 de enero de 2006 a un gran número de servidores, y así descargar un archivo malicioso al ordenador afectado.

Metodo de Infección 

Sober.AH crea los siguientes archivos:

• SERVICES.EXE en la subcarpeta WINSECURITY del directorio de Windows. Este archivo es una copia del gusano.
• CSRSS.EXE y SMSS.EXE en la subcarpeta WINSECURITY del directorio de Windows, que también son copias de gusano.
  Nota: Cuando están en ejecución, los procesos asociados a estos archivos aparecen como hijos del proceso perteneciente a SERVICES.EXE. De esta manera, éste se hace pasar por un proceso legítimo de Windows, llamado de la misma forma y con las mismas dependencias, de modo que un usuario avanzado que consultara el listado de procesos podría pensar que se trata de dicho proceso legítimo.
• SOCKET1.IFO, SOCKET2.IFO y SOCKET3.IFO en la subcarpeta WINSECURITY del directorio de Windows. Estos archivos son copias del gusano codificadas en formato BASE64 que enviará como archivos adjuntos.
• BBBVMWXXF.HML, FILESMS.FMS, GDFJGTHV.CVQ, LANGEINF.LIN, MSSOCK1.DLI, NONRUNSO.BER, RUBEZAHL.RUB y RUNSTOP.RST de 0 Bytes, en el directorio de sistema de Windows.

Sober.AH crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  _Windows = %windir%\ WinSecurity\ services.exe
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  [espacio en blanco]Windows = %windir%\ WinSecurity\ services.exe
  donde %windir% es el directorio de Windows.
  Mediante estas entradas, Sober.AH consigue ejecutarse siempre que Windows se inicia.

Método de Propagación 

Sober.AH se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico escrito en inglés o alemán. Tanto el asunto como el mensaje estarán escritos en alemán únicamente si la extensión del dominio de correo es: de (Alemania), ch (Suiza), at (Austria) or li (Liechtenstein).
  
  MENSAJE EN INGLÉS
  
  Remitente:
  Sober.AH falsifica la dirección de correo electrónico desde la que se envía.
  
  Asunto: puede ser uno de los siguientes:
  hi, ive a new mail address
  Mail delivery failed
  Paris Hilton & Nicole Richie
  Registration Confirmation
  smtp mail failed
  You visit illegal websites
  Your IP was logged
  Your Password
  
  Contenido: puede ser uno de éstos:
  Mensaje 1
  ***** Go to: http://[dominio del correo electrónico del remitente]
  ***** Email: postman
  
  Mensaje 2
  hey its me, my old address dont work at time. i dont know why?!
  in the last days ive got some mails. i' think thaz your mails but im not sure!plz read and check ...cyaaaaaaa
  
  Mensaje 3
  Please answer our questions!
  Steven Allison
  Department Office Admin Mail Post
  *** Federal Bureau of Investigation -FBI-
  *** 935 Pennsylvania Avenue, NW, Room 3220
  *** Washington, DC 20535
  ++++ Central Intelligence Agency -CIA-
  ++++ Office of Public Affairs
  ++++ Washington, D.C. 20505
  ++++ phone: (703) 482-0623
  ++++ 7:00 a.m. to 5:00 p.m., US Eastern time
  
  Mensaje 4
  The Simple Life:
  View Paris Hilton & Nicole Richie video clips , pictures & more ;)
  Download is free until Jan, 2006!
  Please use our Download manager.
  
  Archivo adjunto: uno de los siguientes:
  DOWNLOADM.ZIP
  LIST[CARACTERES ALEATORIOS].ZIP
  MAIL.ZIP
  MAIL_BODY.ZIP
  MAILTEXT.ZIP
  QUESTION_LIST[CARACTERES ALEATORIOS].ZIP
  REG_PASS.ZIP
  REG_PASS-DATA.ZIP
  
  MENSAJE EN ALEMÁN
  
  Remitente:
  Sober.AH falsifica la dirección de correo electrónico desde la que se envía.
  
  Asunto: puede ser uno de los siguientes:
  Ihr Passwort
  Account Information
  SMTP Mail gescheitert
  Mailzustellung wurde unterbrochen
  Ermittlungsverfahren wurde eingeleitet
  Sie besitzen Raubkopien
  RTL: Wer wird Millionaer
  Sehr geehrter Ebay-Kunde
  
  Contenido: puede ser uno de éstos:
  Mensaje 1
  Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
  Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
  Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
  Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
  Vielen Dank, Ihr Ebay-Team
  
  Mensaje 2
  Aktenzeichen NR.:#
  (siehe Anhang)
  Hochachtungsvoll
  i.A. Juergen Stock
  --- Bundeskriminalamt BKA
  --- Referat LS 2
  --- 65173 Wiesbaden
  --- Tel.: +49 (0)611 - 55 - 12331 oder
  --- Tel.: +49 (0)611 - 55 - 0
  
  Mensaje 3
  Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
  Sie sitzen demnaechst bei Guenther Jauch im Studio!
  Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
  +++ RTL interactive GmbH
  +++ Geschaeftsfuehrung: Dr. Constantin Lange
  +++ Am Coloneum 1
  +++ 50829 Koeln
  +++ Fon: +49(0) 221-780 0 oder
  +++ Fon: +49 (0) 180 5 44 66 99
  
  Archivo adjunto: uno de los siguientes:
  [CADENA 1].ZIP
  [CADENA 1]-TEXTINFO.ZIP
  [CADENA 3].ZIP
  [CADENA 3]_TEXT.ZIP
  AKTE[CADENA 2].ZIP
  [CADENA 2].ZIP
  EBAY.ZIP EBAY-USER_REGC.ZIP
  
  donde [CADENA 1] puede ser una de las siguientes: ADMIN,EMAIL.ZIP, EMAIL_TEXT.ZIP, HOSTMASTER, INFO, POSTMAN, POSTMASTER, SERVICE o WEBMASTER.
  donde [CADENA 2] puede ser una de las siguientes: ANZEIGE, BKA, BKA.BUND, DOWNLOADS, INTERNET o POST.
  donde [CADENA 3] puede ser una de las siguientes: AUSLOSUNG, CASTING, GEWINN, INFO, KANDIDAT, RTL, RTL-ADMIN, RTL-TV, WEBMASTER o WWM.
  
  Los archivos adjuntos de ambos mensajes contienen el archivo FILE-PACKED_DATAINFO.EXE.

• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Sober.AH busca direcciones de correo electrónico en archivos que tengan las siguientes extensiones:
  ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMM, INBOX, INI, JSP, LDB, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PHTM, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS y XML.
• Sober.AH envía una copia de sí mismo a todas las direcciones que ha recogido utilizando su propio motor SMTP.
• Para resolver los dominios a los que envía los mensajes de correo electrónico, Sober.AH utiliza los siguientes servidores DNS públicos:
  204.127.160.3
  70.85.116.133
  204.60.0.3
  67.18.208.130
  69.93.9.167
  65.98.70.107
  70.85.209.148
  70.84.250.212
  213.218.170.6
  193.174.26.133
  203.178.136.36
  128.8.74.2
  194.87.0.9
  147.28.0.39
  194.231.195.79
  69.20.54.201
  198.87.87.38
  194.206.126.200
  209.68.63.250
  205.166.226.38
  128.83.139.9
  131.215.254.100
  128.9.176.32
  216.194.225.70
  128.135.5.5
  219.127.89.34
  193.158.124.143
  129.115.102.150
  38.9.211.2
  134.94.80.2
  130.149.2.12
  131.215.254.100
  128.194.254.2
  4.2.2.3
  195.185.185.195
  209.68.2.46
  129.186.1.200
  198.6.1.2
  131.243.64.3
  24.93.40.33
  195.182.96.29
  158.43.128.1
  200.74.214.246
  204.117.214.10
  194.25.2.129
  217.237.150.225
  217.237.151.161
  151.201.0.39
  209.253.113.2
  213.239.234.108
  62.156.146.242
  207.69.188.186
  207.217.120.43
  129.187.10.25
  200.52.83.103
  129.187.16.1
  212.242.88.2
• Sin embargo, no se envía a ninguna dirección que contenga alguna de las siguientes cadenas de texto:
  .dial., .dip.t-dia, .ppp., .qmail@, @arin, @avp, @ca., @example., @foo., @from., @gmetref, @iana, @ikarus., @kaspers, @messagelab, @nai., @panda, @smtp., @sophos, @www, abuse, antivir, anyone, anywhere, bellcore., bitdefender, Clock, -dav, detection, domain., emsisoft, ewido., freeav, free-av, ftp., host., icrosoft., law2, linux, mailer-daemon, mustermann@, nlpmail01., noreply, nothing, reciver@, secure, smtp-, somebody, someone, spybot, sql., user@, variabel, verizon., viren, virus, whatever@, whoever@, winrar, winzip, you@, yourname.

Otros Detalles  

Sober.AH está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 55390 Bytes y está comprimido mediante UPX.

El código de Sober.AH está encriptado con un algoritmo propio.