w32/sober.q
w32.sober.q@mm, w32/sober.r@mm, worm_sober.ac, cme-151, sober.y
tipo: gusano de e-mail
tama?o: 113,551 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminaci?n the hacker 5.8, registro de virus al 05/10/2005.

w32/sober.q@mm , es un gusano que se transmite a trav?s de e-mail utilizando su propio motor smtp. los asuntos son variables y pueden estar en ingles o alem?n . busca direcciones de e-mail en archivos con las siguientes extensiones .abc, .abd, .abx, .adb, .ade, .adp, .adr, .asp, .bak, .bas, .cfg, .cgi, .cls, .cms, .csv, .ctl, .dbx, .dhtm, .doc, .dsp, .dsw, .eml, .fdb, .frm, .hlp, .imb, .imh, .imh, .imm, .inbox, .ini, .jsp, .ldb, .ldif, .log, .mbx, .mda, .mdb, .mde, .mdw, .mdx, .mht, .mmf, .msg, .nab, .nch, .nfo, .nsf, .nws, .ods, .oft, .php, .phtm, .pl, .pmr, .pp, .ppt, .pst, .rtf, .shtml, .slk, .sln, .stm, .tbb, .txt, .uin, .vap, .vbs, .vcf, .wab, .wsh, .xhtml, .xls, .xml
el gusano evitara enviarse a direcciones que est?n compuesto por alguno de los siguientes textos:
-dav .dial. .dip.t-dia .ppp. .qmail@ @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse antivir anyone anywhere bellcore. bitdefender clock detection domain. emsisoft ewido. free-av freeav ftp. host. icrosoft. law2 linux mailer-daemon mustermann@ nlpmail01. noreply nothing reciver@ secure smtp- somebody someone spybot sql. user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yournamame caracter?sticas del mensaje de e-mail:
asunto: your new password
cuerpo:
your password was successfully changed!
please see the attached file for detailed information.
archivo adjunto: pword_changed.zip
--------------------
asunto: fwd: klassentreffen
cuerpo:
hi,
ich hoffe jetzt mal das ich endlich [removido] fuer dir
belaestigung ;)
liebe gruesse:
archivo adjunto: klassenfoto.zip
---------------------
cuando el gusano se ejecuta muestra el siguiente falso mensaje de error:
error
error in packed file!
crc header must be $7ff8
[ ok ]
seguidamente el gusano se copia a si mismo con todos sus componentes dentro de:
windows \connectionstatus\services.exe windows \connectionstatus\netslot.nst system \bbvmwxxf.hml system \gdfjgthv.cvq system \langeinf.lin system \nonrunso.ber system \rubezahl.rub system \seppelmx.smx tambi?n crea el siguiente archivo dentro de:
windows \connectionstatus\socket.dli
en dicho archivo guarda las direcciones de correo obtenidas en la computadora atacada.
nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
_wininet= windows \connectionstatus\services.exe
hkey_current_user\software\microsoft\windows\currentversion\run
_wininet= windows \connectionstatus\services.exe
finalmente el gusano intentar? terminar procesos que contengan en su nombre los siguientes textos:
mrt.exe asw*.tmp 1992/2005