Categorias

Buscador

Otros trucos tecnicos

• Escritorio de Windows como página web.

• Créditos de PowerPoint 2000.

• Excel más divertido

• Usar el navegador Web como calculadora.

• Restaurar el registro desde una copia de seguridad.

w32/sober.k

Categoría: gusanos de e-mail

w32/sober.l@mm, worm_sober.k, w32/sober-k, sober.k, w32/sober.k@mm, w32/sober.m.worm, email-worm.vbs.sober.k
tipo: gusano de email
tama?o: 51,688 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminaci?n the hacker 5.7, registro de virus al 21/02/2005.

w32/sober.k@mm , es un gusano que se transmite a trav?s de e-mail utilizando su propio motor smtp. los asuntos son variables y pueden estar en ingles o alem?n . busca direcciones de email en archivos con las siguientes extensiones .abc, .abd, .abx, .adb, .ade, .adp, .adr, .asp, .bak, .bas, .cfg, .cgi, .cls, .cms, .csv, .ctl, .dbx, .dhtm, .doc, .dsp, .dsw, .eml, .fdb, .frm, .hlp, .imb, .imh, .imh, .imm, .inbox, .ini, .jsp, .ldb, .ldif, .log, .mbx, .mda, .mdb, .mde, .mdw, .mdx, .mht, .mmf, .msg, .nab, .nch, .nfo, .nsf, .nws, .ods, .oft, .php, .phtm, .pl, .pmr, .pp, .ppt, .pst, .rtf, .shtml, .slk, .sln, .stm, .tbb, .txt, .uin, .vap, .vbs, .vcf, .wab, .wsh, .xhtml, .xls, .xml
ignora direcciones de e-mail que est?n conformadas por las siguientes cadenas de texto:
.dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. free-av freeav ftp. gold-certs google host. iana- ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp. ntp- ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe support t-dialin t-ipconnect test@ time user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname iana@ icrosoft. info@ caracter?sticas del mensaje de email:
asunto: [variable, el gusano utiliza asuntos de la siguiente lista, en algunos casos seguido por el siguiente texto message-id: (caracteres aleatorios.com)]
ihr passwort wurde geaendert
ihr neues passwort
email-empfang fehlgeschlagen
paris hilton nackt!
paris hilton sexvideos
seitensprung gesucht?
vorsicht! neuer sober wurm!
anhang scanner: kein virus enthalten
mail scanner: kein virus gefunden
antivirus system: no virus found
your new password
mail_delivery_failed
paris hilton, pure!
alert! new sober worm!
attachment: no virus found
mail-scanner: no virus detected
antivirus: found to be clean
you visit illegal websites
cuerpo:
hallo,
wir hoffen das ihnen die betreffszeile unsere mail genug sagt.
der jugendschutz verbietet uns leider mehr auskunft ueber unser angebot zu geben.
informationen,,,, wie sie sich bei uns anmelden koennen befinden sich im beigefuegten dokument.
natuerlich ist die anmeldung kostenlos!
mehr als 2.5 millionen registrierte benutzer!!!
da ist fuer jeden was dabei!
auf wiedersehen
---------------------------------
- system mail -
diese an ihnen gerichtete e-mail, wurde in einem falschen format gesendet.
der betreff, header und text dieser mail, wurde deshalb separat in einer text-datei gespeichert und gezippt.
vielen dank fuer ihr verstaendnis[system auto- mail]
--------------------------------
guten tag,
mehr als 50 videos,
mehr als 1000 heisse fotos
und mehr als 300 original sounds von der kleinen hilton ........ .
alles frei zum download, aber nur bis zum 01 april 2005 !!!
weitere details entnehmen sie bitte dem vorliegendem dokument.
vielen dank!
webmaster
--------------------------------
dear sir/madam,
we have logged your ip-address on more than 40 illegal websites.
important: please answer our questions!
the list of questions are attached.
yours faithfully,
m. john stellford
++-++ federal bureau of investigation -fbi-
++-++ 935 pennsylvania avenue, nw, room 2130
++-++ washington, dc 20535
++-++ (202) 324-3000
--------------------------------
attention!
antivirus vendors are warning of a new variant of the sober
virus discovered today that can delete the hard disk.
protection:
download and read the zipped patch. its very easy to install!
thanks for your cooperation!
--- (c)2005 microsoft corporation. all rights reserved
--- microsoft corporation
--- one microsoft way
--- redmond, washington 98052-6399
------------------
more than 50 hot hilton videos
more than 3000 hilton picks
free download until april, 2005
make your own download account, its free!
further details are attached
thanks & have fun ;)
-----------------
this is an automatically generated delivery status notification.
esmtp error []
im afraid i wasnt able to deliver your message.
this is a permanent error; ive given up. sorry it didnt work out.
the full mail-text and header is attached
----------------
thanks for your registration!
we have received your payment.
for more detailed information, read the attached text.
-------------------------------
archivo adjunto: variable, el gusano utiliza nombres de la siguiente lista y puede tener la extensi?n .pif o .zip :
patch-formular.zip patch-tool.zip psw-text.zip zipped-text.zip zipped-mail.zip register-info.zip register_text.zip header_text.zip text_register.zip patch_help-text.zip text-indictment_cit.zip --------------------------------
cuando el gusano se ejecuta muestra el siguiente falso mensaje de error:
winsock 2.0 error
stop:0x10020af {unknown_blocking}
possible reason: your firewall is blocking one or more system files
check the winsock error log file on: c:\winsockerror_log.txt
crea el archivo c:\winsockerror_log.txt , el cual contiene logs de falsos errores.
seguidamente el gusano se copia a si mismo dentro de:
windows \msagent\win32\smss.exe
windows \msagent\win32\winlogon.exe
windows \msagent\win32\csrss.exe
tambi?n copia los siguientes archivos dentro de:
windows \msagent\win32\zipedso1.ber windows \msagent\win32\zipedso2.ber windows \msagent\win32\zipedso3.ber windows \msagent\win32\datamx1.dat windows \msagent\win32\datamx2.dat windows \msagent\win32\datamx3.dat windows \msagent\win32\goto1.dat windows \msagent\win32\goto2.dat windows \msagent\win32\goto3.dat windows \msagent\win32\runnowso.ber windows \msagent\win32\[random letters].ano windows \system32\nonrunso.ber windows \system32\stopruns.zhz windows \system32\read.me nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
system representa la carpeta "system" dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
" wynsystem.sys"=" windows \msagent\win32\smss.exe
hkey_current_user\software\microsoft\windows\currentversion\run
"_wynsystem.sys"=" windows \msagent\win32\smss.exe
finalmente crea un archivo de texto llamado temp \1.txt, el gusano abre el archivo de texto con el block de notas (notepad) y visualiza el siguiente texto:
text#674326
-----------
--------------------- winzip codetext modul is missing ------------------
an4msmyaoq5pwfuqljtl075owavgwljd0zsdzzpf3hcyne3tmcmdymzb6dm0ndslxisdwjoitbn9
ta7cf8udsf9rkk3tnievwxpgpgma5hgmnenbnimsbwlhbbsd0jrn0zbfu4lakgbzdo5byg/c0ztn
ci/jpk107o3dy0z4abran6png+zck8uzzarngbsbb8zkazznt9md4t7lm6vlzpcmzen7ccwva5bn
ilivzuxyvzkzk6aqnfet0g7tnd210g/wjj7o2zrn03qdu7bi1nkm5jad8gfpbwmc0zqd0ievrlig
...
1992/2005

Comentarios (0) - Votos (0) - leido 37

Volver a la pagina principal

Comentarios recibidos en w32/sober.k

Deja tu comentario aqui...

Tu nombre
Tu correo
Tu Comentario / Mensaje

Codigo de validación 3373

El codigo de validacion es necesario para poder enviar tu comentario gratis

Categorias

Buscador

Otros trucos tecnicos

Publicidad

w32/sober.k

Tu nombre

Tu correo

Tu Comentario / Mensaje