.at
.ch
.de
.li

También los envía en alemán si existe la cadena GMX en el dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro caso, los envía en inglés.

Mensajes en inglés:

De: [uno de los siguientes]

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Asunto: [uno de los siguientes]

- Re:
- Re:mailing error
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:Your Password

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

ok ok ok,,,,, here is it

Ejemplo 2:

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

Ejemplo 3:

This is an automatically generated E-Mail Delivery 
Status Notification.
Mail-Header, Mail-Body and Error Description are 
attached

Se agrega como pie del mensaje, uno de los siguientes textos:

- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[dominio]

Datos adjuntos: [uno de los siguientes]

account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip

Mensaje en alemán:

Asunto: [uno de los siguientes]

- Glueckwunsch: Ihr WM Ticket
- Ich bin's, was zum lachen ;)
- Ihr Passwort
- Ihre E-Mail wurde verweigert
- Mail-Fehler!
- WM Ticket Verlosung
- WM-Ticket-Auslosung

Texto del mensaje: [uno de los siguientes]

Ejemplo 1:

Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp

Ejemplo 2:

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio] 
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die 
vollstaendige E-Mail incl. Daten gezippt & angehaengt 
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Ejemplo 3:

Nun sieh dir das mal an
Was ein Ferkel ....

Ejemplo 4:

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der 
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte 
dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Se agrega como pie del mensaje, uno de los siguientes textos:

- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[dominio]

Datos adjuntos:

_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip

El archivo .ZIP contiene el ejecutable del gusano, con doble extensión separadas con espacios.

Ejemplos:

Winzipped-Text_Data.txt                  .pif
Winzipped-Text_Data.txt                  .exe

El gusano solo se ejecuta cuando el usuario hace doble clic sobre el adjunto. Cuando ello sucede, puede mostrar el siguiente mensaje de error falso:

WinZip Self-Extractor
Error:CRC not complete
[   OK   ]

Cuando se ejecuta, el gusano crea los siguientes archivos:

c:\windows\Connection Wizard\Status\csrss.exe
c:\windows\Connection Wizard\Status\packed1.sbr
c:\windows\Connection Wizard\Status\packed2.sbr
c:\windows\Connection Wizard\Status\packed3.sbr
c:\windows\Connection Wizard\Status\sacri1.ggg
c:\windows\Connection Wizard\Status\services.exe
c:\windows\Connection Wizard\Status\smss.exe
c:\windows\system32\adcmmmmq.hjg
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\seppelmx.smx
c:\windows\system32\xcvfpokd.tqa

NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

Crea las siguientes entradas para auto ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_WinStart = "c:\windows\Connection Wizard\Status\services.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinStart = "c:\windows\Connection Wizard\Status\services.exe"

El gusano utiliza su propio motor SMTP (Simple Mail Transfer Protocol), para enviarse en forma masiva.

Obtiene las direcciones de archivos con las siguientes extensiones:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Evita enviarse a direcciones cuyos nombres contengan algunas de las siguientes cadenas:

.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

El gusano mantiene tres procesos activos en memoria para permanecer siempre residente. Si se elimina cualquiera de ellos, los demás crean un nuevo proceso.

El gusano examina si existe una conexión a Internet, intentando conectarse a un servidor NTP por el puerto 37, o a los siguientes dominios:

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Herramienta de limpieza automática:

Descargue y ejecute esta herramienta de NOD32 en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober

Herramienta de limpieza (c) Future Time Srl


Reparación manual

Antivirus

Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre todos los archivos detectados como infectados.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\Connection Wizard\Status\csrss.exe
c:\windows\Connection Wizard\Status\packed1.sbr
c:\windows\Connection Wizard\Status\packed2.sbr
c:\windows\Connection Wizard\Status\packed3.sbr
c:\windows\Connection Wizard\Status\services.exe
c:\windows\Connection Wizard\Status\smss.exe
c:\windows\Connection Wizard\Status\sacri1.ggg
c:\windows\system32\adcmmmmq.hjg
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\seppelmx.smx
c:\windows\system32\xcvfpokd.tqa

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Haga clic en la carpeta "Run" y borre la siguiente entrada:

_WinStart

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Haga clic en la carpeta "Run" y borre la siguiente entrada:

WinStart

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Más información:

Nueva versión del Sober se reproduce masivamente
http://www.vsantivirus.com/03-05-05.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com