Categoría: 2 (bajo riesgo)
Tipo: Gusano
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Medio de contagio: Correo infectado.
Fecha de descubrimiento: 30 de enero de 2005
Acciones que toma:- Crea dos archivos en la carpeta %System% usando las siguientes partículas
- sys
- host
- dir
- expoler
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
- Añade el siguiente valor: "[nombre aleatorio]" = "%System%\[nombre de archivo aleatorio].exe" en las siguientes claves del registro de manera que se ejecuta cada vez que se incia el sistema.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion
Nota: El [nombre aleatorio] es uno de los siguientes- sys
- host
- dir
- explorer
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
- Crea los siguientes archivos:
- %System%\dgsfzipp.gmx
- %System%\read.me
- %System%\dgssxy.yoi
- %System%\sysmms32.lla
- %System%\cvqaikxt.apk
- %System%\Odin-Anon.Ger
- %System%\datamx.dam
- %System%\nonrunso.ber
- Busca y elimina versiones anteriores del virus Sober
- Contacta un servidor NTP (Network time protocol) mediante el protocolo TCP en el puerto 137 o mediantela resolución de uno de los siguientes nombres de dominio:
- microsoft.com
- bigfoot.com
- yahoo.com
- t-online.de
- google.com
- hotmail.com
- Busca direccions de correo en la libreta de direcciones de Windows y en archivos con las siguientes extensiones:
- pmr
- phtm
- stm
- slk
- inbox
- imb
- csv
- bak
- imh
- xhtml
- imm
- imh
- cms
- nws
- vcf
- ctl
- dhtm
- cgi
- pp
- ppt
- msg
- jsp
- oft
- vbs
- uin
- ldb
- abc
- pst
- cfg
- mdw
- mbx
- mdx
- mda
- adp
- nab
- fdb
- vap
- dsp
- ade
- sln
- dsw
- mde
- frm
- bas
- adr
- cls
- ini
- ldif
- log
- mdb
- xml
- wsh
- tbb
- abx
- abd
- adb
- pl
- rtf
- mmf
- doc
- ods
- nch
- xls
- nsf
- txt
- wab
- eml
- hlp
- mht
- nfo
- php
- asp
- shtml
- dbx
- Evita direcciones que contengan las siguientes cadenas:
- ntp-
- ntp@
- ntp.
- info@
- test@
- office
- @www
- @from.
- support
- smtp-
- @smtp.
- gold-certs
- ftp.
- .dial.
- .ppp.
- anyone
- subscribe
- announce
- @gmetref
- sql.
- someone
- nothing
- you@
- user@
- reciver@
- somebody
- secure
- me@
- whatever@
- whoever@
- anywhere
- yourname
- mustermann@
- .kundenserver.
- mailer-daemon
- variabel
- password
- noreply
- - -dav
- law2
- .sul.t-
- .qmail@
- t-ipconnect
- t-dialin
- ipt.aol
- time
- postmas
- service
- freeav
- @ca.
- abuse
- winrar
- domain.
- host.
- viren
- bitdefender
- spybot
- detection
- ewido.
- emsisoft
- linux
- google
- @foo.
- winzip
- @example.
- bellcore.
- @arin
- mozilla
- @iana
- @avp
- icrosoft.
- @sophos
- @panda
- @kaspers
- free-av
- antivir
- virus
- verizon.
- @ikarus.
- @nai.
- @messagelab
- nlpmail01.
- clock
- Se envía a si mismo usando su propio motor de SMTP a las direcciones que hay encontrado.
- Las características del mensaje son las mencionadas en el punto 7 de la página de referencia:
Eliminación: Manual:- Deshabilitar la recuperación del sistema (Windows Xp y Millenium)
- Actualizar las definiciones del antivirus
- Reiniciar la computadora en modo seguro o modo VGA
- Ejecutar un análisis completo y borrar todos los archivos infectados con «W32.Sober.J@mm»
- Borrar las entradas mencionadas del el registro al igual que los archivos mencionados.
Para reparar las entradas del registro, hay que usar Inicio > ejecutar > regedit, navegar por el panel izquierdo hasta las carpetas o claves mencionadas y eliminar, del panel derecho, los valores indicados antes.
Comentario:
No es un virus especialmente dañino para quien lo tiene, pero si incómodo, aparte de que puede gastar seriamente la línea de conexión a internet que tengamos, molestará a quienes conzcamos.
Pero su mayor acción, es saturar servicios de correo y servidores en cantidad al ser un gusano que envía miles o millones de correos.
Páginas de referencia: Inglés 
01/02/05, 05:35:15
[Virus – Gusano] - W32.Sober.J@mm 
