Gusano Sober.D se presenta como Alerta de Microsoft

Su detección es fácil a simple vista, ya que se propaga a través de un

e-mail con el asunto Microsoft Alert: Please Read!, que simula ser un

parche de Microsoft contra una variante del gusano Mydoom.

Aunque son varios los usuarios que nos han hecho llegar algunas muestras

sospechando de que se trataba de un nuevo espécimen, no hemos detectado

hasta el momento evidencias de una propagación masiva de Sober.D en

España, situándose en posiciones atrasadas del TOP 20 de las últimas 24

horas. Puede que en paises anglosajones el gusano esté consiguiendo un

mayor número de infecciones, ya que algunas casas antivirus con sedes en

EE.UU., como NAi o symantec, lo han situado como alerta media.

La

reacción de las casas antivirus en proporcionar la actualización de la

firma específica para que sus clientes pudieran detectarlo, según el

sistema de monitorización 24hx7d del laboratorio de Hispasec, fue la

siguiente:

[Sophos] 08.03.2004 05:14:41 :: W32/Roca-A

[Panda]

08.03.2004 08:59:16 :: W32/Roca.A.worm

[Kaspersky] 08.03.2004

09:04:26 :: I-Worm.Sober.d

[NOD32] 08.03.2004 10:04:42 ::

Win32/Sober.D

[TrendMicro] 08.03.2004 12:22:10 :: WORM_SOBER.D

[McAfee] 08.03.2004 13:49:57 :: W32/Sober.d@MM!zip

[Symantec]

08.03.2004 21:39:27 :: W32.Sober.D@mm

[eTrustAV-Inoc] 08.03.2004

21:58:27 :: Win32/Sober.D.Worm

Como en ocasiones anteriores, los

tiempos mencionados son hora española (GMT+1).

En el caso de

NOD32, reconocía a éste espécimen desde el momento de su aparición como

probaly unknow NewHeu_PE virus, a través de la función de heurística

avanzada del monitor residente, e incluiría la firma específica en la

hora mencionada en la tabla. En cuanto a Panda, que en un primer momento

lo detectó como W32/Roca.A.worm, a partir de la actualización de las

12:18:41 cambió su denominación por W32/Sober.D.worm.

Sober.D se propaga a través del correo electrónico en un archivo adjunto con

extensión .EXE o .ZIP. Los textos del mensaje pueden ser en inglés o

alemán, idioma éste último que solo utiliza si la dirección del

destinatario incluye la cadena @gmx o finaliza en .de, .ch, .at o .li.

Características internas

El asunto del mensaje en el que se distribuye Sober.D es un texto fijo,

lo que permite reconocer su llegada a simple vista. En el caso de que la

dirección tenga alguna cadena de las mencionadas anteriormente, el texto

en alemán comienza por Microsoft Alarm: Bitte Lesen!, mientras que

para el resto de la gran mayoría de destinatarios el asunto aparecerá en

inglés como Microsoft Alert: Please Read!.

La

dirección de remite la falsea y construye a partir del esquema

cadena1@microsoftcadena2. Donde cadena1 puede ser alguno de los

siguientes:

Info

Center

UpDate

News

Help

Studio

Alert

Patch

Security

y cadena2 elige entre:

.de

.at

.com

De forma que algunos de los posibles remite podría

ser, por ejemplo,

Info@microsoft.de, News@microsoft.com,

Alert@microsoft.at, etc.

El cuerpo del mensaje puede ser uno de los

siguientes, dependiendo

de la versión en inglés o alemán:

New MyDoom Virus Variant Detected! A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet. Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus. The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468. Protection: Please download this digitally signed attachment. This Update includes the functionality of previously released patches. +++ ©2004 Microsoft Corporation. All rights reserved. +++ One Microsoft Way, Redmond, Washington 98052 +++ Restricted Rights at 48 CFR 52.227-19

Neue Virus-Variante W32.Mydoom verbreitet sich schnell. Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner! F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg. Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen! +++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten. +++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse +++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

La trampa

El archivo adjunto infectado, desarrollado en Visual Basic y comprimido

con UPX, puede presentarse con la extensión .EXE o .ZIP. El nombre del

archivo lo compone a través de una lista de posibles textos:

Patch

MS-Security

MS-UD

UpDate

sys-patch

MS-Q

A lo

que les adjunta un número al azar de entre 5 o 10 dígitos. De esta forma

un posible nombre de archivo adjunto podría ser, por ejemplo:

Patch04813.exe

Si el usuario intenta abrir este archivo adjunto, el

gusano comienza su rutina de infección. El usuario visualizará una

ventana imitando que el supuesto parque de Microsoft ha sido

correctamente instalado. Mientras tanto, Sober.D ya se habrá copiado en

la carpeta de sistema de Windows. El nombre utilizado lo forma uniendo

varias cadenas de una lista que lleva el gusano en su código, lo que da

lugar a un gran número de posibles combinaciones y nombres. La lista de

cadenas que utiliza es:

sys

host

dir

explorer

win

run

log

32

disc

crypt

data

diag

spool

service

smss32

De forma que el gusano podría instalarse en la carpeta de

sistema de Windows como, por ejemplo, diagwinhost.exe, resultado de

unir las cadenas diag + win + host.

En la misma carpeta también crea otros archivos, que pueden ser indicativos de

la presencia del gusano en un sistema:

Humgly.lkur

temp32x.data

wintmpx33.dat

yfjq.yqwm

zmndpgwf.kxx

A continuación, y como suele

ser habitual en este tipo de gusanos, modifica las siguientes entradas

en el registro de Windows para asegurarse su ejecución en cada inicio de

sistema.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

El nombre utilizado en el registro también lo construye como en el caso del

nombre de archivo, dando lugar a muchas posibles combinaciones.

Sober.D, que incluye su propio motor SMTP, recopila direcciones a las

que enviarse buscando, en el sistema infectado, dentro de los archivos

con extensión log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml,

php, asp, shtml, dbx, ttt, wab y tbb.

El gusano evita enviarse a

las direcciones de correo electrónico que contengan alguna de las

siguientes cadenas:

@arin

@avp

@foo.

@iana

@ikarus.

@kaspers

@messagelab

@msn.

@nai.

@ntp.

@panda

@sophos

abuse

admin

antivir

bitdefender

clock

detection

domain.

emsisoft

ewido.

free-av

google

host.

hotmail

info@

linux

microsoft.

mozilla

ntp-

ntp@

office

password

postmas

redaktion

service

spybot

support

symant

t-online

time

variabel

verizon.

viren

virus

winrar

winzip

El consejo,

como siempre, es no abrir o ejecutar archivos potencialmente peligrosos,

sobre todo si no hemos demandado su envío. Adicionalmente, contar con

soluciones antivirus correctamente instaladas y puntualmente

actualizadas. También resulta útil seguir los foros de seguridad o

listas como una-al-día, para estar al tanto de las últimas amenazas

que nos pueden afectar.

En el caso específico de este gusano, que

una vez más intenta imitar un parche de Microsoft, recordar que en

ningún caso Microsoft distribuye actualizaciones o herramientas a través

del correo electrónico, por lo que debemos desconfiar y eliminar

cualquier mensaje en términos similares.