Su detección es fácil a simple vista, ya que se propaga a través de un
e-mail con el asunto Microsoft Alert: Please Read!, que simula ser un
parche de Microsoft contra una variante del gusano Mydoom.
Aunque son varios los usuarios que nos han hecho llegar algunas muestras
sospechando de que se trataba de un nuevo espécimen, no hemos detectado
hasta el momento evidencias de una propagación masiva de Sober.D en
España, situándose en posiciones atrasadas del TOP 20 de las últimas 24
horas. Puede que en paises anglosajones el gusano esté consiguiendo un
mayor número de infecciones, ya que algunas casas antivirus con sedes en
EE.UU., como NAi o symantec, lo han situado como alerta media.
La
reacción de las casas antivirus en proporcionar la actualización de la
firma específica para que sus clientes pudieran detectarlo, según el
sistema de monitorización 24hx7d del laboratorio de Hispasec, fue la
siguiente:
[Sophos] 08.03.2004 05:14:41 :: W32/Roca-A
[Panda]
08.03.2004 08:59:16 :: W32/Roca.A.worm
[Kaspersky] 08.03.2004
09:04:26 :: I-Worm.Sober.d
[NOD32] 08.03.2004 10:04:42 ::
Win32/Sober.D
[TrendMicro] 08.03.2004 12:22:10 :: WORM_SOBER.D
[McAfee] 08.03.2004 13:49:57 :: W32/Sober.d@MM!zip
[Symantec]
08.03.2004 21:39:27 :: W32.Sober.D@mm
[eTrustAV-Inoc] 08.03.2004
21:58:27 :: Win32/Sober.D.Worm
Como en ocasiones anteriores, los
tiempos mencionados son hora española (GMT+1).
En el caso de
NOD32, reconocía a éste espécimen desde el momento de su aparición como
probaly unknow NewHeu_PE virus, a través de la función de heurística
avanzada del monitor residente, e incluiría la firma específica en la
hora mencionada en la tabla. En cuanto a Panda, que en un primer momento
lo detectó como W32/Roca.A.worm, a partir de la actualización de las
12:18:41 cambió su denominación por W32/Sober.D.worm.
Sober.D se propaga a través del correo electrónico en un archivo adjunto con
extensión .EXE o .ZIP. Los textos del mensaje pueden ser en inglés o
alemán, idioma éste último que solo utiliza si la dirección del
destinatario incluye la cadena @gmx o finaliza en .de, .ch, .at o .li.
Características internas
El asunto del mensaje en el que se distribuye Sober.D es un texto fijo,
lo que permite reconocer su llegada a simple vista. En el caso de que la
dirección tenga alguna cadena de las mencionadas anteriormente, el texto
en alemán comienza por Microsoft Alarm: Bitte Lesen!, mientras que
para el resto de la gran mayoría de destinatarios el asunto aparecerá en
inglés como Microsoft Alert: Please Read!.
La
dirección de remite la falsea y construye a partir del esquema
cadena1@microsoftcadena2. Donde cadena1 puede ser alguno de los
siguientes:
Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security
y cadena2 elige entre:
.de
.at
.com
De forma que algunos de los posibles remite podría
ser, por ejemplo,
Info@microsoft.de, News@microsoft.com,
Alert@microsoft.at, etc.
El cuerpo del mensaje puede ser uno de los
siguientes, dependiendo
de la versión en inglés o alemán:
New MyDoom Virus Variant Detected! A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet. Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus. The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468. Protection: Please download this digitally signed attachment. This Update includes the functionality of previously released patches. +++ ©2004 Microsoft Corporation. All rights reserved. +++ One Microsoft Way, Redmond, Washington 98052 +++ Restricted Rights at 48 CFR 52.227-19
Neue Virus-Variante W32.Mydoom verbreitet sich schnell. Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner! F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg. Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen! +++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten. +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
La trampa
El archivo adjunto infectado, desarrollado en Visual Basic y comprimido
con UPX, puede presentarse con la extensión .EXE o .ZIP. El nombre del
archivo lo compone a través de una lista de posibles textos:
Patch
MS-Security
MS-UD
UpDate
sys-patch
MS-Q
A lo
que les adjunta un número al azar de entre 5 o 10 dígitos. De esta forma
un posible nombre de archivo adjunto podría ser, por ejemplo:
Patch04813.exe
Si el usuario intenta abrir este archivo adjunto, el
gusano comienza su rutina de infección. El usuario visualizará una
ventana imitando que el supuesto parque de Microsoft ha sido
correctamente instalado. Mientras tanto, Sober.D ya se habrá copiado en
la carpeta de sistema de Windows. El nombre utilizado lo forma uniendo
varias cadenas de una lista que lleva el gusano en su código, lo que da
lugar a un gran número de posibles combinaciones y nombres. La lista de
cadenas que utiliza es:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
De forma que el gusano podría instalarse en la carpeta de
sistema de Windows como, por ejemplo, diagwinhost.exe, resultado de
unir las cadenas diag + win + host.
En la misma carpeta también crea otros archivos, que pueden ser indicativos de
la presencia del gusano en un sistema:
Humgly.lkur
temp32x.data
wintmpx33.dat
yfjq.yqwm
zmndpgwf.kxx
A continuación, y como suele
ser habitual en este tipo de gusanos, modifica las siguientes entradas
en el registro de Windows para asegurarse su ejecución en cada inicio de
sistema.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
El nombre utilizado en el registro también lo construye como en el caso del
nombre de archivo, dando lugar a muchas posibles combinaciones.
Sober.D, que incluye su propio motor SMTP, recopila direcciones a las
que enviarse buscando, en el sistema infectado, dentro de los archivos
con extensión log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml,
php, asp, shtml, dbx, ttt, wab y tbb.
El gusano evita enviarse a
las direcciones de correo electrónico que contengan alguna de las
siguientes cadenas:
@arin
@avp
@foo.
@iana
@ikarus.
@kaspers
@messagelab
@msn.
@nai.
@ntp.
@panda
@sophos
abuse
admin
antivir
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
host.
hotmail
info@
linux
microsoft.
mozilla
ntp-
ntp@
office
password
postmas
redaktion
service
spybot
support
symant
t-online
time
variabel
verizon.
viren
virus
winrar
winzip
El consejo,
como siempre, es no abrir o ejecutar archivos potencialmente peligrosos,
sobre todo si no hemos demandado su envío. Adicionalmente, contar con
soluciones antivirus correctamente instaladas y puntualmente
actualizadas. También resulta útil seguir los foros de seguridad o
listas como una-al-día, para estar al tanto de las últimas amenazas
que nos pueden afectar.
En el caso específico de este gusano, que
una vez más intenta imitar un parche de Microsoft, recordar que en
ningún caso Microsoft distribuye actualizaciones o herramientas a través
del correo electrónico, por lo que debemos desconfiar y eliminar
cualquier mensaje en términos similares.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…