W32/Sober-L

Vea la información para eliminar gusanos.

Windows NT/2000/XP/2003 En Windows NT/2000/XP/2003 necesitará editar las siguientes entradas en el registro. Para Windows 95/98/Me, eliminar esta entrada es opcional. Antes de continuar, lea el aviso sobre el uso del editor del registro.

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

En HKEY_LOCAL_MACHINE localice y borre cualquier referencia al gusano en la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre cualquier referencia al gusano en la siguiente entrada:

HKU\[code number]\Software\Microsoft\Windows\ CurrentVersion\Run\

Cierre el editor del registro.

W32/Sober-L es un gusano de email que se envía a direcciones recolectadas desde un ordenador infectado

El mensaje de email que envía W32/Sober-L depende de la dirección del destinatario. Los usuarios cuyas direcciones están en los dominios .de, .ch, .at, .li o contienen el elemento "gmx." recibirán un email como el siguiente:

Asunto:

Ich habe Ihre E-Mail bekommen!

Mensaje:

Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist.

Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.

Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

Gruss

Adjunto:

MailTexte.zip

El mensaje que envía a otras direcciones tendrá las siguientes características:

Asunto:

Your Password & Account number

Mensaje:

hi,

i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think.

i've copied the full mail text in the Windows text-editor & zipped.

ok, cya...

Adjunto:

acc_text.zip

El archivo ZIP contendrá un archivo ejecutable llamado mail_text-data.txt.pif

Las direcciones de procedencia serán falsas. W32/Sober-L es un gusano de email que se envía a direcciones recolectadas desde un ordenador infectado.

Al ejecutarse por primera vez, W32/Sober-L abrirá la aplicación de Bloc de notas y mostrará un mensaje que empieza con:

Mail-Text: Unzip failed

W32/Sober-L se copiará en una subcarpeta de la carpeta de Windows llamada \MSAGENT\SYSTEM con el nombre SMSS.EXE. Para ejecutarse automáticamente al inicio del sistema, W32/Sober-L modificará las entradas en el registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run " Services.dll" <carpeta de Windows>\msagent\system\smss.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run _Services.dll < carpeta de Windows >\msagent\system\smss.exe

W32/Sober-L también crea los siguientes archivos de datos:

\msagent\win32\emdata.mmx \msagent\win32\zipzip.zab \read.me \nonrunso.ber \stopruns.zhz \xcvfpokd.tqa

El archivo READ.Me contiene el siguiente mensaje:

test test test

In diesem Sinne: Odin alias Anon

W32/Sober-L intentará terminar procesos con nombres que contengan los siguientes elementos:

gcas, gcip, giantanti, stinger, hijackthis

W32/Sober-L recolecta direcciones de email desde archivos con los siguientes segmentos en su nombre:

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

W32/Sober-L intentará enviar mensajes a direcciones que contengan uno de los siguientes segmentos:

ntp- ntp@ ntp. test@ office @www @from. support smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel password noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time postmas service freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

El mensaje de email que envía W32/Sober-L depende de la dirección del destinatario. Los usuarios cuyas direcciones están en los dominios .de, .ch, .at, .li o contienen el elemento "gmx." recibirán un email como el siguiente:

Asunto:

Ich habe Ihre E-Mail bekommen!

Mensaje:

Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist.

Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.

Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

Gruss

Adjunto:

MailTexte.zip

El mensaje que envía a otras direcciones tendrá las siguientes características:

Asunto:

Your Password & Account number

Mensaje:

hi,

i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think.

i've copied the full mail text in the Windows text-editor & zipped.

ok, cya...

Adjunto:

acc_text.zip

El archivo ZIP contendrá un archivo ejecutable llamado mail_text-data.txt.pif

Las direcciones de procedencia serán falsas.