VSantivirus No. 1205 Año 7, Sábado 25 de octubre de 2003
W32/Sober.A. Muestra mensaje "File not complete!"
http://www.vsantivirus.com/sober-a.htm
Nombre: W32/Sober.A
Tipo: Gusano de Internet
Alias: Sober, W32.Sober@mm, Win32/Sober.A, I-Worm.Sober, W32/Sober@MM, W32/Sober-A
Fecha: 24/oct/03
Plataforma: Windows 32-bit
Tamaño: 63,488 bytes
Gusano escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, que se envía en forma masiva por correo electrónico, utilizando su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima.
El mensaje posee diferentes asuntos en inglés y alemán. El nombre del adjunto también varía, así como la extensión (.bat, .com, .exe, .pif, o .scr).
Cuando se ejecuta, muestra un mensaje de error falso con el siguiente texto:
Error
File not complete!
[ OK ]
Cuando ello sucede, sin importar la respuesta del usuario, el gusano se copia en la carpeta System de Windows:
c:\windows\system\drv.exe
c:\windows\system\similare.exe
c:\windows\system\systemchk.exe
c:\windows\system\systemini.exe
También crea la carpeta "help" y el archivo "media.dll"
en "c:\windows\system\macromed", el cuál (a pesar de su extensión), en realidad es un archivo de texto
que utiliza para almacenar las direcciones electrónicas a las que se envía:
c:\windows\system\macromed\help\media.dll
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea las siguientes entradas del registro, para autoejecutarse en cada reinicio de Windows:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath = c:\windows\system\drv.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syspath = c:\windows\system\drv.exe
Luego, se envía a todos los contactos de la libreta de direcciones, en mensajes con estas características:
Uno de los siguientes asuntos:
_berraschung
A worm is on your computer!
Advise who I am!
Back At The Funny Farm
Be careful! New mail worm
Ein Wurm ist auf Ihrem Computer!
Hey man, long not see you
Hi darling, what are you doing now?
Hi Olle, lange niks mehr geh
Hi Schnuckel was machst du so ?
I love you (I'm not a virus!)
Ich habe Ihre E-Mail bekommen !
Ich Liebe Dich
I've become your mail!
Jetzt rate mal, wer ich bin !?
Langsam reicht es mir
Neue Sobig Variante (Lesen!!)
Neuer Virus im Umlauf!
New Sobig-Worm variation (please read)
Now, it's enough
Re: Contact
Re: Kontakt
Re: lol
RE: Sex
Sie haben mir einen Wurm geschickt!
Sie versenden Spam Mails (Virus?)
Sorry, Ich habe Ihre Mail bekommen
Sorry, I've become your mail
Surprise
Viurs blocked every PC (Take care!)
Viurs blockiert jeden PC (Vorsicht!)
VORSICHT!!! Neuer Mail Wurm
You have sent me a virus!
You send spam mails (Worm?)
Como texto del mensaje utiliza varios diferentes. Los siguientes son algunos ejemplos:
Ejemplo 1:
I permanently get Spam-Mails from you and inside
is a virus!!
You should remove these thing.
Ejemplo 2:
Read the document, before another or my mailbox
explode!
Yours sincerely: [nombre falso]
Ejemplo 3:
Sorry, but the ODIN Worm is probably on your
computer!
You should check this with the patch application.
See you soon
Ejemplo 4:
Kaspersky Lab Int. and Norton Anti Virus have
found a new typ of worm.
He calls itself "ODIN" and he is very variable!
Como archivo adjunto, uno de los siguientes:
anti_virusdoc.pif
anti-Sob.bat
Anti-Sob.bat
anti-sob.bat
anti-trojan.exe
AntiTrojan.exe
antitrojan.exe
AntiVirusDoc.pif
antivirusdoc.pif
Bild.scr
bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
cm-recover.com
funny.scr
Funny.scr
Hengst.pif
hengst.pif
Liebe.com
liebe.com
little-scr.scr
love.com
Mausi.scr
mausi.scr
nacked.com
NackiDei.com
nackidei.com
nav.pif
Odin_Worm.exe
odin_worm.exe
perversion.scr
Perversionen.scr
perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
robotmailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
screen_doku.scr
security.pif
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system\drv.exe
c:\windows\system\similare.exe
c:\windows\system\systemchk.exe
c:\windows\system\macromed\help\media.dll
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Borre también los mensajes electrónicos similares al descripto antes.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
syspath
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
syspath
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
27/oct/03 - Ampliación de la descripción
27/oct/03 - Alias: W32/Sober-A
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|