Juravi
Activo
Mensajes: 18
Sexo: 
Conectado: No
|
«20/Nov/2004 08:23 am»
Descubierto encendido: De noviembre el 19 de 2004
Gusano |
W32.Sober.I@mm es un gusano el masa-enviar que utiliza su propio motor del smtp para separarse enviándose como accesorio del email a las direcciones recolectadas de la computadora infectada.
El tema del email varía y estará en inglés o alemán. El remitente del email que es la dirección spoofed. El nombre del accesorio del email varía, y tendrá un bat, un com, un pif, un scr, o una extensión de archivo del zip. El accesorio puede también tener una extensión doble.
Esta amenaza se escribe en el lenguaje de programación básico visual de Microsoft y se comprime con UPX.
Nota:
Versión viva 61119c (inversor de corriente extendido de la versión 11/19/2004 3) o mayor voluntad de las definiciones de la actualización detectaron esta amenaza.
En ciertas circunstancias el gusano puede corromperse. Si sucede esto, el gusano no se ejecutará en la computadora, y el software del antivirus puede no poder detectarla. Cuando una computadora se infecta con una versión corrupta de W32.Sober.I@mm, las ventanas del aviso de comando pueden ser exhibidas brevemente cuando Windows comienza. La herramienta del retiro de W32.Sober@mm no podrá a las versiones corruptas del uninstall de W32.Sober.I@mm y es necesario proceder con las instrucciones manuales del retiro enumeradas abajo.
También Conocido Como : Win32.Sober.I [ Asociados ] De la Computadora, Sober.I [ F-Seguro ], I-Worm.Sober.i [ Kaspersky ], W32/Sober.j@MM [ McAfee ], W32/Sober.I@mm [ Normando ], W32/Sober.I.worm [ Panda ], W32/Sober-I [ Sophos ], WORM_SOBER.I [ Tendencia ]
Tipo: Gusano
Longitud De la Infección : 56.808 octetos
Sistemas Afectados : Windows 2000, Windows 95, Windows 98, Windows Yo, Windows NT, Servidor 2003, Windows XP De Windows
Cuando se ejecuta W32.Sober.I@mm, realiza las acciones siguientes:
Exhibe el mensaje siguiente:
"WinZip_Data_Module es ~Error que falta: { [ número al azar ] } "
Crea dos archivos en el directorio %System% usando un nombre de fichero compuesto de las secuencias siguientes:
sistema
anfitrión
dir
expoler
triunfo
funcionamiento
registro
32
disco
cripta
datos
diag
carrete
servicio
smss32
Nota: %System% es una variable que refiere a la carpeta del sistema. Por defecto éste es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea los archivos siguientes:
%System%\nonzipsr.noz
%System%\clonzips.ssc
%System%\clsobern.isc
%System%\sb2run.dii
%System%\winsend32.dal
%System%\winroot64.dal
%System%\zippedsr.piz
%System%\winexerun.dal
%System%\winmprot.dal
%System%\dgssxy.yoi
%System%\cvqaikxt.apk
%System%\sysmms32.lla
%System%\Odin-Anon.Ger
Agrega los valores:
" [ nombre al azar del valor ]" = "archivo name].exe del gusano de %System%\[random"
"[ nombre al azar del valor ]" = "archivo name].exe el %srun% del gusano de %System%\[random"
a la llave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
para ejecutar el gusano cada vez Windows comienza.
Nota: [ nombre al azar del valor ] se compone de una o más de las secuencias siguientes:
sistema
anfitrión
dir
expoler
triunfo
funcionamiento
registro
32
disco
cripta
datos
diag
carrete
servicio
smss32
Si la fecha actual ha pasado el 5 de enero de 2005, entonces el gusano puede procurar descargar y ejecutar un archivo de localizaciones múltiples en los dominios siguientes:
http://home.arcor.de/worm-sober/
http://home.arcor.de/pageyado/
http://home.arcor.de/newpage/
http://scifi.pages.at/sec_i_ze_q/
http://scifi.pages.at/protected_chanel/
http://home.pages.at/nido_mruw/
http://free.pages.at/piks-for-all/
http://free.pages.at/freeware-on-net/
http://people.freenet.de/goetterbote5555/
http://people.freenet.de/angisweb/
http://people.freenet.de/schmink-tipps/
http://people.freenet.de/myfunside/
http://people.freenet.de/solberx/
http://people.freenet.de/myfreeweb/
http://people.freenet.de/dianemaus/
A la hora de la escritura ningunos de los archivos eran accesibles.
Direcciones del email de las acopios de archivos en la computadora infectada. Evita las direcciones del email que contienen las subsecuencias siguientes:
oficina
@www
@from.
ayuda
redaktion
smtp
@smtp.
oro-certs
ftp.
dial.
ppp.
cualquier persona
suscriba
anuncie
@gmetref
sql.
alguien
nada
usted @
usuario @
reciver @
alguien
seguro
msdn.
yo @
lo que @
quienquiera @
dondequiera
yourname
mustermann @
kundenserver.
anuncio-demonio
variabel
contraseña
- dav
law2
sul.t-
qmail @
t-ipconnect
t-dialin
ipt.aol
tiempo
postmas
servicio
freeav
@ca.
abuso
winrar
dominio.
anfitrión.
viren
bitdefender
spybot
detección
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft.
@spiegel.
@sophos
@panda
@kaspers
libre-sistema de pesos americano
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
reloj
pista.
WWW.
miembros.
tecleos.
refiérase.
Comprueba la conexión de red entrando en contacto con el servidor del NTP en el puerto 37, o por el resolución de los dominios siguientes:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx
Envía una copia de sí mismo como accesorio del email a las direcciones que encuentra en la computadora infectada, usando su propio motor del smtp. Los mensajes del email estarán en inglés o alemán y tendrán las características siguientes:
De: (Spoofed) puede ser un email address encontrado en la computadora infectada o puede estar en la forma de [ dominio de los name]@[recipient falsos del remitente ], donde está uno el nombre falso del remitente del siguiente:
Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Información
Servicio
Hilfe
Webmaster
Hostmaster
Postmaster
Usuario-Info
Tema: (puede ser uno del siguiente con el FwD: como prefijo)
hola allí
¡hey tipo!
¡wazzup!!!
sí tipo:P
Detalles
Dios del Oh es
¡maldición!
#
Confirmación del registro
Confirmación
Su Contraseña
Su cuenta del correo
Aviso de la falta de la entrega
Reparto del correo culpable
El reparto del correo falló
Error El Enviar
Muestras ilegales en el email
Longitud inválida del correo
Falta del reparto del correo
estado del reparto del correo
¡Advertencia!
error en dbase
Error De DBase
sube, yo tienen su correo
Apesadumbrado, ése es su correo
¿por qué usted hace eso?
Vida una perra
El sonreír como un asesino
¿lol, wat'nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Correo
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Correo
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
¡Hi, seivorsichtig!
¡Achtung!gefährlicherVirus!
¿Schongehört?
¡DieTools!
¡DeinZeug!
Hierfürdich^^
BestellungsBestätigung
Lieferungs-Bestätigung
Autorización, hieristmein
Ichhabemichindichv
Cuerpo: (puede ser compuesto de algo del texto siguiente)
Usuario-Servicio de ++++: del HTTP: / dominio >
++++ MailTo: dominio de los postmaster@<sender >
Su contraseña fue cambiada con éxito.
Se une el mensaje protegido.
Esto account_hast_been_disabled.
_ failed_after_I_sent_the_message.
¡Ein Passwort del duch del geschützt del ist de la información de Diese!
El zugesandt de Ihre Persönlichen Daten de los uns de Da Sie haben, Geburts-Dato de Passwort Ihr de los das del ist.
¡Unserem Angebot del mit del vergnügen de Viel!
Im unter de la Yo-Red: [domain de http:www ]
Aus Datenschutzrechtlichen Gründen, incl de E'Mail del vollständige del dado del darf. El angehängt del nur de Daten werden.
Sie mordido Wir, berücksichtigen del zu de los dieses.
GmBH Y Co. Kilogramo
El durch del leider de Datenbanken del unsere de Da einen el zerstört de Programm Fehler wurden, mussten el bezüglich Ihrer Nutzungs- Daten del änderung del eine del leider del wir vornehmen.
Ihre geänderten la cuenta Daten, befinden el sich im beigefügten el dokument.
---------------------------------------------------------
Este correo fue generado automáticamente.
Más Info cerca de -- gaynet -- debajo: del HTTP: /
-------
Occured_Errors:
[ IP]_does_not_like_recipient.
# 440: CAJA NO ENCONTRADA
Extremo
-------
Se une el correo completo.
Auto_Mail.System: [ gaynet ]
*-*-* Mail_Scanner: Ningún Virus
Servicio De Symantec- Anti_Virus Del *-*-*
*-*-* http://www.symantec.com
---------------------------------------------------------
¡Fui sorprendido, también!
¿Who_could_suspect_something_like_that? sh*tyiiiii
---------------------------------------------------------
Este correo fue generado automáticamente.
Más Info cerca de -- hotmail -- debajo: del HTTP: /
-------
Occured_Errors:
[ IP]_does_not_like_sender.
# 153: Giving_up_on_[IP ]
Extremo
-------
Se une el correo completo.
Auto_Mail.System: [ hotmail ]
*-*-* Mail_Scanner: Ningún Virus
Servicio De Symantec- Anti_Virus Del *-*-*
---------------------------------------------------------
Accesorio: (se puede basar en el email address, o puede estar uno del siguiente, con una extensión del pif, del zip, del scr, del bat o del com:
im_shocked
oh_nono
thats_hard
correo
auto_mail
re-mail_system-mail_system
Error_mail
El accesorio puede también estar en la forma de [ la extensión name].zip de domain].[first del recipiente donde está uno el primer nombre de la extensión del siguiente:
txt
doc
word
xls
eml
TXT
DOC
EML
La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":
Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un FTP SERVER, telnet, y un web server. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras Windows-basadas deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios de la tela del vendedor.
Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
Removal using the W32.Sober Removal Tool
Symantec Security Response has developed a removal tool to clean the infections of W32.Sober.I@mm. Try this removal tool first, as it is the easiest way to remove this threat.
Manual Removal Instructions
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.
Disable System Restore (Windows Me/XP).
Update the virus definitions.
Run a full system scan and delete all the files detected as W32.Sober.I@mm.
Delete the value that was added to the registry.
For specific details on each of these steps, read the following instructions.
1. To disable System Restore (Windows Me/XP)
If you are running Windows Me or Windows XP, we recommend that you temporarily turn off System Restore. Windows Me/XP uses this feature, which is enabled by default, to restore the files on your computer in case they become damaged. If a virus, worm, or Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer.
Windows prevents outside programs, including antivirus programs, from modifying System Restore. Therefore, antivirus programs or tools cannot remove threats in the System Restore folder. As a result, System Restore has the potential of restoring an infected file on your computer, even after you have cleaned the infected files from all the other locations.
Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat.
For instructions on how to turn off System Restore, read your Windows documentation, or one of the following articles:
"How to disable or enable Windows Me System Restore"
"How to turn off or turn on Windows XP System Restore"
Note: When you are completely finished with the removal procedure and are satisfied that the threat has been removed, re-enable System Restore by following the instructions in the aforementioned documents.
For additional information, and an alternative to disabling Windows Me System Restore, see the Microsoft Knowledge Base article, "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," Article ID: Q263455.
2. To update the virus definitions
Symantec Security Response fully tests all the virus definitions for quality assurance before they are posted to our servers. There are two ways to obtain the most recent virus definitions:
Running LiveUpdate, which is the easiest way to obtain virus definitions: These virus definitions are posted to the LiveUpdate servers once each week (usually on Wednesdays), unless there is a major virus outbreak. To determine whether definitions for this threat are available by LiveUpdate, refer to the Virus Definitions (LiveUpdate).
Downloading the definitions using the Intelligent Updater: The Intelligent Updater virus definitions are posted daily. You should download the definitions from the Symantec Security Response Web site and manually install them. To determine whether definitions for this threat are available by the Intelligent Updater, refer to the Virus Definitions (Intelligent Updater).
The Intelligent Updater virus definitions are available: Read "How to update virus definition files using the Intelligent Updater" for detailed instructions.
3. To scan for and delete the infected files
Start your Symantec antivirus program and make sure that it is configured to scan all the files.
For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
Run a full system scan.
If any files are detected as infected with W32.Sober.I@mm, click Delete.
Note: If your Symantec antivirus product reports that it cannot delete an infected file, Windows may be using the file. To fix this, run the scan in Safe mode. For instructions, read the document, "How to start the computer in Safe Mode." Once you have restarted in Safe mode, run the scan again.
(After the files are deleted, you can leave the computer in Safe mode and proceed with section 4. When that is done, restart the computer in Normal mode.)
4. To delete the value from the registry
Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.
Click Start > Run.
Type regedit
Then click OK.
Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In the right pane, delete the value:
"[random value name]" = "%System%\[random worm file name].exe"
"[random value name]" = "%System%\[random worm file name].exe %srun%"
Exit the Registry Editor.
Revision History:
November 19, 2004:
Provided link to removal tool.
Updated description related to file downloading.
Write-up by: Candid Wueest
Por mas informacion ver
http://www-cu.symantec.com/avcenter/venc/data/w32.sober.i@mm.html
Juravi Corp |
Tema cerrado
