Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

W32/Sober.C. Muestra mensaje de "unknown error"
 
VSantivirus No. 1262 Año 8, domingo 21 de diciembre de 2003

W32/Sober.C. Muestra mensaje de "unknown error"
http://www.vsantivirus.com/sober-c.htm

Nombre: W32/Sober.C
Tipo: Gusano de Internet
Alias: Sober.C, W32.Sober.C@mm, Win32/Sober.C, Win32/Sober.C, I-Worm.Sober.c, W32/Sober.c@MM, WORM_SOBER.C, Win32.Sober.C, W32/Sober.C@mm, W32/Sober.d@MM, Win32/Sober.C.Worm 
Fecha: 20/dic/03
Plataforma: Windows 32-bit
Tamaño: 74,346 bytes (puede variar)

Gusano escrito en Microsoft Visual Basic y comprimido con la herramienta UPX, que se envía en forma masiva por correo electrónico, utilizando su propio motor SMTP, de modo que no depende del cliente utilizado por la víctima.

El mensaje posee diferentes asuntos en varios idiomas (inglés y alemán). El nombre del adjunto también varía, así como la extensión (.bat, .com, .exe, .pif, .scr o .cmd)

También intenta propagarse a través de la red de intercambio de archivos P2P del KaZaa.

Cuando se ejecuta, muestra un mensaje de error falso con el nombre del archivo entre comillas, y alguno de los siguientes textos:

Microsoft
"[nombre del archivo]" has caused an unknown error.
Stop: 00000010x08
[  OK  ]

Runtime Error
"[nombre del archivo]" has caused an unknown error.
[  OK  ]

Cuando ello sucede, sin importar la respuesta del usuario, el gusano se copia en la carpeta System de Windows con nombres al azar. También puede crear una copia con el nombre SYSHOSTX.EXE. Alguno de los archivos copiados, puede contener basura, agregada por el propio gusano:

c:\windows\system\syshostx.exe
c:\windows\system\[nombre al azar]
c:\windows\system\[nombre al azar]

Para crear [nombres al azar], utiliza dos o tres componentes de esta lista, más la extensión .EXE:

win
svc
task
sys
dll
host
end
dir
ms
run
ex
log
on
reg
ie
32
16
64
disk
api
app
con
mon
drv
crypt
dat
dx
diag
str
xp
hex

Por ejemplo: REG16DX.EXE, LOGAPIXP.EXE, etc.

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Mantiene dos procesos activos en memoria, para permanecer siempre residente. Si se elimina uno, se crea otro. Dos de los archivos copiados en el sistema (los que poseen nombres al azar), se encargan de monitorear esto, y de crear de inmediato una nueva copia, por lo que la limpieza debe hacerse en modo a prueba de fallos. También actualiza constantemente las claves del registro creadas para autoejecutarse, por lo que borrar las claves con el gusano en memoria es inútil.

Las siguientes son las entradas creadas por el gusano en el registro, para autoejecutarse en cada reinicio de Windows:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar]

HKU\[usuario]\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre al azar] = c:\windows\system\[nombre al azar]

Donde [usuario] es la identificación del mismo.

El gusano se envía a todos los contactos de la libreta de direcciones, en mensajes con estas características:

Uno de los siguientes asuntos:

A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Bankverbindungs- Daten
Betr: Klassentreffen
Du hast einen Trojaner drauf!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Ermittlungsverfahren wurde eingeleitet
Hi, Ich bin's
hi, its me
I hate you
Ich hasse dich
Ich zeige sie an!
Ihre IP wurde geloggt
Neu! Legales Filesharing
Neuer Dialer Patch!
Preliminary investigation were started
Sie Drohen mir!!
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Sorry, that's your mail
Testen Sie ihren IQ
Thank You very very much
Umfrage: Rente erst mit 80!
ups, i've got your mail
why me?
you are an idiot
You use illegal File Sharing ...
Your IP was logged

El texto del mensaje varía de acuerdo al asunto, y se muestra en el idioma de éste (inglés o alemán).

Algunos ejemplos en inglés:

Ejemplo 1:

i'm very very sorry, anybody have sent your
mail to my address.

Ejemplo 2:

I've got your mail, but its came on my mail
address???

Ejemplo 3:

i've read this mail ,,, sorry about that
excuse for my bad english, but I'm a Dutchman

Ejemplo 4:

sorry for my bad english, I am a Swede!
Cya

Ejemplo 5:

I don't know how to start this!
I'm dull,, can you test!?

Ejemplo 6:

Here, the DigiCam photos. A few are overexposed.
Cu

Ejemplo 7:

That you've killed this bastard.
Your reward:

Ejemplo 8:

That you have paid for me!
And that's your list, too!

Ejemplo 9:

That you have paid for me!
And that's your card, too!

Ejemplo 10:

That you have paid for me!
And that's your picture, too!

Ejemplo 11:

Caution: To all gamers
A new worm spread via online gaming!
You must change your internet configuration!!
see:

Ejemplo 12:

Attention: To all gamers
More than 75.000 freeware games!!!
Genre:
-> 8500 online games = 3D Shooter, RPG,
Action, Adventure, ... non online games:
-> Action = 4200 games
-> 3D Shooter's = 7500 games
-> RPG's = 6800 games
-> Adventure's = 5400 games
-> ROM's for NES, SNES, PS1&2, GC ,GB, MD,
SMS, .. = 29.000 ROM
- others = 16900 games
all free!!
Download and enjoy

Ejemplo 13:

why do you do that?

Ejemplo 14:

You say in the www. that i'm a terrorist!!!
No way out for you. I REPORT YOU !
You've said THAT about me

Ejemplo 15:

egistration confirmation
Thanks for your registration.
( We say Sorry again, the first mail was
delivered to an unknown mail address.
This was a bug in our mailing system! )
The amount of 239.- USD was deducted by your

Ejemplo 16:

Welcome,
you can now visit more than 1200 very very
hot web pages!

Ejemplo 17:

Your registration, pages and passwords are
transferred in the attachment.
Enjoy

Ejemplo 18:

I said, I love you..,, and you said NOTHING
And now,,, Go Away From Me
Here are my love-letter((s)) mock me mock
me again and again.
Enjoy it. blablabla GO!

Ejemplo 19:

Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is
illegal and punishable by law.
We hereby inform you that your computer was
scanned under the IP [dirección IP al azar].
The contents of your computer were confiscated
as an evidence, and you will be indicated.
In the next days, youll get the charge in writing.
You get the charge in writing, in the next days.
In the next days you will receive the charge in
writing. In the Reference code: #[número al azar],
are all files, that we found on your computer.
The sender address of this mail was masked,
to fend off mail bombs.
to protect us against mail bombs.
- You get more detailed information by the Federal
Bureau of Investigation -FBI-
- Department for Illegal Internet Downloads, Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

Ejemplo 20:

hi, I am from [Austria, Switzerland, Norway, Denmark, Spain, Belgium]

hello, I am from
[Austria, Switzerland, Norway, Denmark, Spain, Belgium]
and you'll don't believe me,
but a trojan horse in on your
[pc, computer].
I've scanned the network-ports on the internet.
(I know, that's illegal)
And I have found your pc. Your pc is open on
the internet for everybody!
Because the .exe* trojan is running on your
system.
Check this, open the task manager and try to
stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!
Sorry for my bad english! Greets

Ejemplo 21:

NEW! Note: More than 84.000 entries on our page:
All about: Pokemon, YU-GI-OH, DragonballZ,
BeyBlade, Ranma 1/2, and and and Games, Video's,
Pic's, Cards, MP3s, Screen-saver, and and and
and many many more! And NO DIALERS only banner
advertisers!!! have fun

Como archivo adjunto, uno de los siguientes:

abstimmen.bat
abstimmen.cmd
abstimmen.com
abstimmen.exe
abstimmen.pif
abstimmen.scr
account.bat
account.cmd
account.com
account.exe
account.pif
account.scr
aktenz[número al azar].bat
aktenz[número al azar].cmd
aktenz[número al azar].com
aktenz[número al azar].exe
aktenz[número al azar].pif
aktenz[número al azar].scr
aktenz[número al azar].txt.bat
aktenz[número al azar].txt.cmd
aktenz[número al azar].txt.com
aktenz[número al azar].txt.exe
aktenz[número al azar].txt.pif
aktenz[número al azar].txt.scr
alledigis.bat
alledigis.cmd
alledigis.com
alledigis.exe
alledigis.pif
alledigis.scr
bab.bat
bab.cmd
bab.com
bab.exe
bab.pif
bab.scr
credit card.bat
credit card.cmd
credit card.com
credit card.exe
credit card.pif
credit card.scr
downloader.exe
drohmails.bat
drohmails.cmd
drohmails.com
drohmails.exe
drohmails.pif
drohmails.scr
haha_sehr_witzig.bat
haha_sehr_witzig.cmd
haha_sehr_witzig.com
haha_sehr_witzig.exe
haha_sehr_witzig.pif
haha_sehr_witzig.scr
idiot.bat
idiot.cmd
idiot.com
idiot.exe
idiot.pif
idiot.scr
klassenfoto.bat
klassenfoto.cmd
klassenfoto.com
klassenfoto.exe
klassenfoto.pif
klassenfoto.scr
letters.bat
letters.cmd
letters.com
letters.exe
letters.pif
letters.scr
mangaconection.bat
mangaconection.cmd
mangaconection.com
mangaconection.exe
mangaconection.pif
mangaconection.scr
painfulness.bat
painfulness.cmd
painfulness.com
painfulness.exe
painfulness.pif
painfulness.scr
photos.bat
photos.cmd
photos.com
photos.exe
photos.pif
photos.scr
refcode[número al azar].bat
refcode[número al azar].cmd
refcode[número al azar].com
refcode[número al azar].exe
refcode[número al azar].pif
refcode[número al azar].scr
refcode[número al azar].txt.bat
refcode[número al azar].txt.cmd
refcode[número al azar].txt.com
refcode[número al azar].txt.exe
refcode[número al azar].txt.pif
refcode[número al azar].txt.scr
remove-lsass.exe
remove-lsass_tool.exe
remove-lsass-patch.exe
remove-services.exe
remove-services_tool.exe
remove-services-patch.exe
remove-smss.exe
remove-smss_tool.exe
remove-smss-patch.exe
reward.bat
reward.cmd
reward.com
reward.exe
reward.pif
reward.scr
rtl-dsds-anmelde.bat
rtl-dsds-anmelde.cmd
rtl-dsds-anmelde.com
rtl-dsds-anmelde.exe
rtl-dsds-anmelde.pif
rtl-dsds-anmelde.scr
set_config.bat
set_config.cmd
set_config.com
set_config.exe
set_config.pif
set_config.scr
sharedfree.bat
sharedfree.cmd
sharedfree.com
sharedfree.exe
sharedfree.pif
sharedfree.scr
sysdial-patch.bat
sysdial-patch.cmd
sysdial-patch.com
sysdial-patch.exe
sysdial-patch.pif
sysdial-patch.scr
terror-list.bat
terror-list.cmd
terror-list.com
terror-list.exe
terror-list.pif
terror-list.scr
test.bat
test.cmd
test.com
test.exe
test.pif
test.scr
www.anime4allfree.com
www.animepage43252.com
www.boards4all-terror432.com
www.free4manga.com
www.free4share4you.com
www.freegames4you-gzone.com
www.freewantiv.com
www.iq4you-german-test.com
www.onlinegamerspro-worm.com
www.tagespolitik-umfragen.com
yourmail.bat
yourmail.cmd
yourmail.com
yourmail.doc.bat
yourmail.doc.cmd
yourmail.doc.com
yourmail.doc.exe
yourmail.doc.pif
yourmail.doc.scr
yourmail.exe
yourmail.pif
yourmail.scr
yourmail.txt.bat
yourmail.txt.cmd
yourmail.txt.com
yourmail.txt.exe
yourmail.txt.pif
yourmail.txt.scr
yourregistration.bat
yourregistration.cmd
yourregistration.com
yourregistration.exe
yourregistration.pif
yourregistration.scr
yourregistration.txt.bat
yourregistration.txt.cmd
yourregistration.txt.com
yourregistration.txt.exe
yourregistration.txt.pif
yourregistration.txt.scr
youtoo.bat
youtoo.cmd
youtoo.com
youtoo.exe
youtoo.pif
youtoo.scr
zugangsdaten.bat
zugangsdaten.cmd
zugangsdaten.com
zugangsdaten.exe
zugangsdaten.pif
zugangsdaten.scr
zugangsdaten.txt.bat
zugangsdaten.txt.cmd
zugangsdaten.txt.com
zugangsdaten.txt.exe
zugangsdaten.txt.pif
zugangsdaten.txt.scr

La dirección que figura como remitente es siempre falsa.

El gusano busca direcciones de correo electrónico para enviarse, en archivos con las siguientes extensiones:

.abc
.ade
.adp
.asp
.cfg
.dbx
.doc
.dsp
.dsw
.eml
.fdb
.hlp
.htm
.html
.htt
.ini
.ldb
.ldif
.mda
.mdb
.mde
.mdw
.mht
.nab
.nfo
.nsf
.php
.pst
.rtf
.shtm
.shtml
.sln
.txt
.vap
.wab
.xls

Las direcciones recolectadas, son almacenadas en el siguiente archivo:

c:\windows\system\savesyss.dll

También crea los siguientes archivos temporales:

c:\windows\system\humgly.lkur
c:\windows\system\yfjq.yqwm
c:\windows\system\ms16taskwin.exe

El gusano también intenta copiarse en la carpeta "My Shared Folder" del KaZaa, para propagarse por esta red de intercambio de archivos entre usuarios. Para ello, reemplaza todos los ejecutables con extensiones .COM, .EXE, .SCR, .BAT, .CMD o .PIF, por una copia de si mismo, conservando el nombre del archivo borrado.


Reparación manual

Antivirus


Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados por el virus


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\system\syshostx.exe
c:\windows\system\[nombre al azar]
c:\windows\system\[nombre al azar]
c:\windows\system\savesyss.dll
c:\windows\system\humgly.lkur
c:\windows\system\yfjq.yqwm
c:\windows\system\ms16taskwin.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Borre también los mensajes electrónicos similares a los descriptos antes.


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system\[nombre al azar]

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system\[nombre al azar]

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\[Identificación del usuario]
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

[nombre al azar] = c:\windows\system\[nombre al azar]

8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

21/dic/03 - Descripción (propagación por KaZaa)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS