| Asunto: | VSantivirus No. 1761 Año 9, martes 3 de mayo de 2005 | | Fecha: | Martes, 3 de Mayo, 2005 15:15:51 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1761 Año 9, martes 3 de mayo de 2005
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Nueva versión del Sober se reproduce masivamente
2 - W32/Sober.O. Envía mensajes en inglés o alemán
_____________________________________________________________
1 - Nueva versión del Sober se reproduce masivamente
_____________________________________________________________
http://www.vsantivirus.com/03-05-05.htm
Nueva versión del Sober se reproduce masivamente
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una nueva versión del Sober se está reproduciendo en forma
masiva por Internet. El gusano comenzó a propagarse
velozmente, pero gracias a la renovada Heurística Avanzada de
NOD32 los usuarios de este antivirus estuvieron siempre
protegidos contra esta amenaza.
NOD32 fue capaz de detectar automáticamente que se trataba de
una versión modificada del gusano Sober, una de las familias
de virus de mayor propagación de los últimos tiempos.
Inicialmente, el virus fue detectado por NOD32 como
"probablemente gusano Sober modificado" y luego, desde la
actualización de firmas, comenzó a detectarlo como
Win32/Sober.O (Sober.P para otros fabricantes).
Como sus predecesores, este gusano se propaga principalmente a
través del correo electrónico, utilizando su propio motor
SMTP. De esta manera, puede enviar copias de si mismo a todas
las direcciones encontradas en el equipo, independientemente
del programa que el usuario infectado utilice.
Los mensajes infectados tienen un texto en inglés o alemán
(los usuarios con Windows en español, reciben la versión en
inglés), e incluyen un adjunto con extensión .ZIP. Dentro de
este archivo, se incluye otro que al ser ejecutado, muestra un
mensaje de error para confundir al usuario, haciéndole creer
que no puede abrirse por estar dañado. Luego de ello, el
gusano comienza con todas sus rutinas de infección y
propagación.
Como versiones anteriores del Sober, el gusano utiliza un
recurso que intentar evitar que los antivirus sean capaces de
analizar los archivos infectados. Para ello, evita que un
antivirus tradicional lo detecte, si antes no se finalizan
todos los procesos en memoria.
VirusRadar.com, el sitio de estadísticas de Eset, reportó que
en las primeras dos horas de vida del Sober.O, alrededor de
5,000 mensajes analizados contenían el gusano. Uno de cada
cincuenta mensajes analizados por VirusRadar.com están
infectados por este virus, al momento de publicación de este
artículo (más de cien mil mensajes,
http://www.virusradar.com/stat_01_current/index_all_enu.html).
[ver imagen http://www.vsantivirus.com/03-05-05.htm]
Aunque el gusano apela a tácticas de ingeniería social (en
este caso, entre sus varios mensajes existe uno en alemán que
ofrece entradas para el Campeonato Mundial de Fútbol FIFA 2006
a disputarse en Alemania), esta no es la razón principal para
su propagación entre usuarios de habla hispana, sino la simple
curiosidad que lleva a abrir adjuntos no solicitados.
* Sobre NOD32
NOD32 sigue siendo el antivirus con mayor promedio de
detección heurística en los virus analizados por Hispasec
(España), http://www.virustotal.com
Porcentaje de virus detectados solo con heurística (últimos 12
meses, incluido Sober.O):
NOD32 85,71 %
BitDefender 64,29 %
Norman 64,29 %
Panda 50,00 %
McAfee 35,71 %
F-Prot 21,43 %
AntiVir 20,00 %
DrWeb 16,67 %
Kaspersky 15,38 %
ClamAV 14,29 %
Sophos 14,29 %
Norton 9,09 %
eTrus-Iris 0,00 %
Trend Micro 0,00 %
Video Soft, empresa creadora del sitio VSAntivirus, representa
en Uruguay al antivirus NOD32 (marca registrada de Eset). Más
información: http://www.nod32.com.uy/
* Más información:
W32/Sober.O. Envía mensajes en inglés o alemán
http://www.vsantivirus.com/sober-o.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
2 - W32/Sober.O. Envía mensajes en inglés o alemán
_____________________________________________________________
http://www.vsantivirus.com/sober-o.htm
Nombre: W32/Sober.O
Nombre NOD32: Win32/Sober.O
Tipo: Gusano de Internet
Alias: Sober.O, Sober.P, Email-Worm.Win32.Sober.p, I-
Worm/Sober.P, Sober.O@mm, W32.Sober.O@mm, W32/Sober.p@MM,
W32/Sober.p@MM!zip, W32/Sober.V.worm, W32/Sober-N,
Win32.Sober.O@mm, Win32/Sober.53554!Worm, Win32/Sober.O,
Worm.Sober.2, Worm.Sober.P, WORM_SOBER.S
Fecha: 2/may/05
Plataforma: Windows 32-bit
Tamaño: 53,554 bytes (UPX), 53,728 bytes (.ZIP)
Herramienta de limpieza: Si
Variante del Sober, detectado el 2 de mayo de 2005. Escrito en
Microsoft Visual Basic, se propaga por correo electrónico, o
es enviado en forma de spam.
Los mensajes tienen asuntos y textos en inglés o alemán.
Utiliza su propio motor SMTP, de modo que no depende del
cliente utilizado por la víctima para enviarse.
El remitente siempre es falso, y es seleccionado al azar de la
lista de direcciones a las que el gusano se envía.
El gusano envía los mensajes en alemán, cuando la dirección
del destinatario tiene una de las siguientes extensiones:
.at
.ch
.de
.li
También los envía en alemán si existe la cadena GMX en el
dominio (ej: gmx.com, gmx.de, gmx.net). En cualquier otro
caso, los envía en inglés.
Mensajes en inglés:
De: [uno de los siguientes]
Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster
Asunto: [uno de los siguientes]
- Re:
- Re:mailing error
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:Your Password
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
ok ok ok,,,,, here is it
Ejemplo 2:
Account and Password Information are attached!
Visit: http:/ /www.[dominio]
Ejemplo 3:
This is an automatically generated E-Mail Delivery
Status Notification.
Mail-Header, Mail-Body and Error Description are
attached
Se agrega como pie del mensaje, uno de los siguientes textos:
- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[dominio]
Datos adjuntos: [uno de los siguientes]
account_info.zip
account_info-text.zip
error-mail_info.zip
mail_info.zip
our_secret.zip
Mensaje en alemán:
Asunto: [uno de los siguientes]
- Glueckwunsch: Ihr WM Ticket
- Ich bin's, was zum lachen ;)
- Ihr Passwort
- Ihre E-Mail wurde verweigert
- Mail-Fehler!
- WM Ticket Verlosung
- WM-Ticket-Auslosung
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Passwort und Benutzer-Informationen befinden sich in
der beigefuegten Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp
Ejemplo 2:
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die
vollstaendige E-Mail incl. Daten gezippt & angehaengt
werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Ejemplo 3:
Nun sieh dir das mal an
Was ein Ferkel ....
Ejemplo 4:
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie
dabei.Weitere Details ihrer Daten entnehmen Sie bitte
dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
Se agrega como pie del mensaje, uno de los siguientes textos:
- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[dominio]
Datos adjuntos:
_PassWort-Info.zip
autoemail-text.zip
Fifa_Info-Text.zip
LOL.zip
okTicket-info.zip
El archivo .ZIP contiene el ejecutable del gusano, con doble
extensión separadas con espacios.
Ejemplos:
Winzipped-Text_Data.txt .pif
Winzipped-Text_Data.txt .exe
El gusano solo se ejecuta cuando el usuario hace doble clic
sobre el adjunto. Cuando ello sucede, puede mostrar el
siguiente mensaje de error falso:
WinZip Self-Extractor
Error:CRC not complete
[ OK ]
Cuando se ejecuta, el gusano crea los siguientes archivos:
c:\windows\Connection Wizard\Status\csrss.exe
c:\windows\Connection Wizard\Status\packed1.sbr
c:\windows\Connection Wizard\Status\packed2.sbr
c:\windows\Connection Wizard\Status\packed3.sbr
c:\windows\Connection Wizard\Status\sacri1.ggg
c:\windows\Connection Wizard\Status\services.exe
c:\windows\Connection Wizard\Status\smss.exe
c:\windows\system32\adcmmmmq.hjg
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\seppelmx.smx
c:\windows\system32\xcvfpokd.tqa
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32"
pueden variar de acuerdo al sistema operativo instalado
("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
Crea las siguientes entradas para auto ejecutarse en cada
reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
_WinStart = "c:\windows\Connection Wizard\Status\services.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinStart = "c:\windows\Connection Wizard\Status\services.exe"
El gusano utiliza su propio motor SMTP (Simple Mail Transfer
Protocol), para enviarse en forma masiva.
Obtiene las direcciones de archivos con las siguientes
extensiones:
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml
Evita enviarse a direcciones cuyos nombres contengan algunas
de las siguientes cadenas:
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
-dav
detection
domain.
emsisoft
ewido.
freeav
free-av
ftp.
gold-certs
google
host.
iana-
iana@
icrosoft.
info@
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
reciver@
secure
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
test@
time
t-ipconnect
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
El gusano mantiene tres procesos activos en memoria para
permanecer siempre residente. Si se elimina cualquiera de
ellos, los demás crean un nuevo proceso.
El gusano examina si existe una conexión a Internet,
intentando conectarse a un servidor NTP por el puerto 37, o a
los siguientes dominios:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
* Herramienta de limpieza automática:
Descargue y ejecute esta herramienta de NOD32 en su
computadora, para una limpieza automática de la misma. Siga
las instrucciones en pantalla.
http://www.vsantivirus.com/sober-o.htm
Herramienta de limpieza (c) Future Time Srl
* Reparación manual
* Antivirus
Para borrar manualmente el gusano, primero actualice sus
antivirus con las últimas definiciones, luego siga estos
pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica
en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus
discos duros.
3. Borre todos los archivos detectados como infectados.
* Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los
siguientes archivos:
c:\windows\Connection Wizard\Status\csrss.exe
c:\windows\Connection Wizard\Status\packed1.sbr
c:\windows\Connection Wizard\Status\packed2.sbr
c:\windows\Connection Wizard\Status\packed3.sbr
c:\windows\Connection Wizard\Status\services.exe
c:\windows\Connection Wizard\Status\smss.exe
c:\windows\Connection Wizard\Status\sacri1.ggg
c:\windows\system32\adcmmmmq.hjg
c:\windows\system32\langeinf.lin
c:\windows\system32\nonrunso.ber
c:\windows\system32\seppelmx.smx
c:\windows\system32\xcvfpokd.tqa
Pinche con el botón derecho sobre el icono de la "Papelera de
reciclaje" en el escritorio, y seleccione "Vaciar la papelera
de reciclaje".
Borre también los mensajes electrónicos similares a los
descriptos antes.
* Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas,
pueden no estar presentes ya que ello depende de que versión
de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y borre la siguiente entrada:
_WinStart
4. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y borre la siguiente entrada:
WinStart
6. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú
"Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u
"Opciones de carpetas".
3. Seleccione la lengüeta "Ver".
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos
los archivos".
En Windows Me/2000/XP, en "Archivos y carpetas ocultos",
MARQUE "Mostrar todos los archivos y carpetas ocultos" y
DESMARQUE "Ocultar archivos protegidos del sistema operativo".
6. Pinche en "Aplicar" y en "Aceptar".
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción, la
herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
* Más información:
Nueva versión del Sober se reproduce masivamente
http://www.vsantivirus.com/03-05-05.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados, simplemente
ejecutamos esos antivirus en su opción de escaneo, sobre la
carpeta que contenga los archivos a revisar). Y por supuesto,
de nada vale usar algún antivirus si no lo mantenemos
actualizado con los upgrades, updates o add-ons
correspondientes. Actualmente, las actualizaciones de la
mayoría de los fabricantes son diarias. No existen los "virus
demasiados nuevos y sin antídotos", la reacción de las casas
de antivirus es inmediata en todos los casos. Pero mejor
pregúntese, si la suya también lo es a la hora de
actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Ante cualquier duda, simplemente se debe optar
por borrar el mensaje (y archivos adjuntos). Como se dice
vulgarmente, "la confianza mata al hombre", en este caso a la
PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga referencias
de seriedad, o que no sean medianamente conocidos. Y si se
bajan archivos, proceder como los archivos adjuntos. Copiarlos
a una carpeta y revisarlos con dos o tres antivirus
actualizados antes de optar por ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos el
permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo a
la política de Copyright adoptada por cada uno de ellos, y su
inclusión en nuestro boletín se rige por dichas políticas, sin
embargo, para su uso en otro medio, se deberá solicitar la
debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.nod32.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No. 1761 Año 9, martes 3 de mayo de 2005
|
VSantivirus No. 17
Responder a este mensaje
