Sober.D

Cuc Sober.D es presenta com un avís de Microsoft

Detectada en les últimes hores la nova variant Sober.D, cuc que en un primer moment també ha rebut el nom de "Roca". La seva detecció és fàcil a primera vista, ja que es propaga a través d'un missatge amb l'assumpte "Microsoft Alert: Please Read!", que simula ser un pegat de Microsoft contra una variant del cuc "Mydoom".

Encara que són varis els usuaris que ens han fet arribar algunes mostres sospitant que es tractava d'un nou espècimen, no hem detectat fins el moment evidències d'una propagació massiva de Sober.D a l'estat espanyol, situant-se en posicions endarrerides del TOP 20 de les últimes 24 hores. Pot ser que als països anglosaxons el cuc estigui aconseguint un major nombre d'infeccions, ja que alguns fabricants d'antivírics amb seu als Estats Units, com NAI o Symantec, l'han situat com alerta mitja.

La reacció dels fabricants d'antivírics en proporcionar l'actualització de la signatura específica perquè els seus clients poguessin detectar-ho, segons el sistema de monitorització 24hx7d del laboratori de Hispasec, va anar la següent forma

Com en ocasions anteriors, l'hora indicada és l'oficial (GMT+1).

En el cas de NOD32, reconeixia a aquest espècimen des del moment de la seva aparició com "probaly unknow NewHeuPE virus", a través de la funció de heurística avançada del monitor resident, i inclouria la signatura específica a l'hora esmentada en la taula. Pel que respecte a Panda, que en un primer moment el va detectar com "W32/Roca.A.worm", a partir de l'actualització de les 12:18:41 va canviar la seva denominació per "W32/Sober.D.worm".

Sober.D es propaga a través del correu electrònic en un fitxer adjunt amb extensió .EXE o .ZIP. Els textos del missatge poden ser en anglès o alemany, idioma aquest últim que sol utilitza si l'adreça del destinatari inclou la cadena "@gmx" o finalitza en .de, .ch, .at o .li.

L'assumpte del missatge on es distribueix Sober.D és un text fix, el que permet reconèixer la seva arribada a primer cop d'ull. En el cas que l'adreça tingui alguna cadena de les esmentades anteriorment, el text en alemany comença per "Microsoft Alarm: Bitte Lesen!", mentre que per a la resta de la gran majoria de destinataris l'assumpte apareixerà en anglès com "Microsoft Alert: Please Read!".

L'adreça de remitent la falseja i construeix a partir de l'esquema <cadena1>@microsoft<cadena2>, on <cadena1> pot ser alguna de les següents:

• Info
• Center
• UpDate
• News
• Help
• Studio
• Alert
• Patch
• Security

• .de
• .at
• .com

El cos del missatge pot ser un dels següents, depenent de la versió en anglès o alemany:

Versió en anglès

New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly
through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails
contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released
patches.

+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19

Versió en alemany

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im
Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten
Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen
Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des
W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem
Schädling zu sch?zen!

+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

El fitxer associat infectat, desenvolupat en Visual Basic i comprimit amb UPX, pot presentar-se amb l'extensió .EXE o .ZIP. El nom del fitxer el compon a través d'una llista de possibles textos:

• Patch
• MS-Security
• MS-UD
• UpDate
• sys-patch
• MS-Q

Si l'usuari intenta obrir aquest fitxer adjunt, el cuc comença la seva rutina d'infecció. L'usuari visualitzarà una finestra indicant que el suposat pegat de Microsoft ha estat correctament instal•lat. Mentrestant, Sober.D ja s'haurà copiat a la carpeta de sistema de Windows. El nom utilitzat el forma unint diverses cadenes d'una llista que duu el cuc dins el seu codi, el que dóna lloc a un gran nombre de possibles combinacions i noms. La llista de cadenes que utilitza és:

• sys
• host
• dir
• explorer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32

De forma que el cuc podria instal•lar-se a la carpeta de sistema de Windows com, per exemple, "diagwinhost.exe", resultat d'unir les cadenes "diag" + "win" + "host".

En la mateixa carpeta també crea d'altres fitxers, que poden ser indicatius de la presència del cuc en un sistema:

• Humgly.lkur
• temp32x.data
• wintmpx33.dat
• yfjq.yqwm
• zmndpgwf.kxx

A continuació, i com acostuma a ser habitual en aquesta mena de cucs, modifica les següents entrades del registre de Windows per a assegurar-se la seva execució en cada inici de sistema.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

El nom utilitzat en el registre també el construeix utilitzant les mateixes cadenes fetes servir per a crear el nom del fitxer, el que dóna a moltes possibles combinacions.

Sober.D, que inclou el seu propi motor SMTP, recull les adreces a les quals enviar-se buscant, al sistema infectat, dins dels fitxers amb extensió log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx, ttt, wab i tbb.

El cuc evita enviar-se a les adreces de correu electrònic que continguin alguna de les següents cadenes:

• @arin
• @avp
• @foo.
• @iana
• @ikarus.
• @kaspers
• @messagelab
• @msn.
• @nai.
• @ntp.
• @panda
• @sophos
• abuse
• admin
• antivir
• bitdefender
• clock
• detection
• domain.
• emsisoft
• ewido.
• free-av
• google
• host.
• hotmail
• info@
• linux
• microsoft.
• mozilla
• ntp-
• ntp@
• office
• password
• postmas
• redaktion
• service
• spybot
• support
• symant
• t-online
• time
• variabel
• verizon.
• viren
• virus
• winrar
• winzip

El consell, com sempre, és no obrir o executar fitxers potencialment perillosos, sobretot si no hem demandat el seu enviament. Addicionalment, disposar d'un antivíric correctament instal•lades i puntualment actualitzat. També resulta útil seguir els fòrums de seguretat o llistes com "una-al-dia" d'Hispasec, per a estar al punt de les últimes amenaces que ens poden afectar.

En el cas específic d'aquest cuc, que una vegada més intenta imitar un pegat de Microsoft, recordar que en cap cas Microsoft distribueix actualitzacions o eines a través del correu electrònic, pel que hem de desconfiar i eliminar qualsevol missatge en termes similars.

Per a saber més

Win32.Sober.D@mm
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=212

Win32.Sober.D
http://www3.ca.com/virusinfo/virus.aspx?ID=38525

WIN32/SOBER.D
http://www.enciclopediavirus.com/virus/vervirus.php?id=761

W32/Sober.D@mm
http://www.f-prot.com/virusinfo/descriptions/sober_d.html

Sober.D
http://www.f-secure.com/v-descs/sober_d.shtml

W32/Sober.d@MM
http://vil.nai.com/vil/content/v_101081.htm

W32/Sober.D@mm
http://www.norman.com/virus_info/w32_sober_d_mm.shtml

Sober.D
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=45378

W32.Sober.D@mm
http://www.sarc.com/avcenter/venc/data/w32.sober.d@;mm.html

W32/Roca-A
http://www.sophos.com/virusinfo/analyses/w32rocaa.html

WORM_SOBER.D
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58017&VName=WORM_SOBER.D

W32/Sober.D. Asunto: "Microsoft Alert: Please Read!"
http://www.vsantivirus.com/sober-d.htm