alta
Resumen
Resumen
Acción- Más información
| Propagación |
|
|---|---|
| Sistemas operativos vulnerables | Windows |
| Características |
|
| Protección disponible desde | 22 de noviembre de 2005 01:13:08 (GMT) |
| Última actualización | 9 de mayo de 2007 21:06:38 (GMT) |
| Detectado por | Todos los productos de Sophos |
Acción
- Resumen
- Acción
- Más información
Vea la información para eliminar gusanos.
Más información
W32/Sober-Z es un gusano para Windows.
W32/Sober-Z envía mensajes en alemán a direcciones halladas en el disco duro.
Al ejecutarse por primera vez, un cuadro de mensaje puede mostrarse con el título "WinZip Self-Extractor" y con el mensaje "Error in packed Header".
El mensaje que envía W32/Sober-Z contiene una copia adjunta del gusano en formato ZIP con el nombre reg_pass.zip. El archivo incluido en el archivo ZIP se denomina "File-packed_dataInfo.exe"
Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Sober-Z (detectado como W32/Sober-Gen) desde la versión 3.97. W32/Sober-Z es un gusano para Windows.
W32/Sober-Z envía mensajes en alemán a direcciones halladas en el disco duro. El gusano busca direcciones de email en archivos cuyo nombre contenga las siguientes cadenas:
pmr stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx
Al ejecutarse por primera vez, un cuadro de mensaje puede mostrarse con el título "WinZip Self-Extractor" y con el mensaje "Error in packed Header".
El gusano crea la carpeta <Windows>\WinSecurity y crea los siguientes archivos:
<Windows>\WinSecurity\csrss.exe <Windows>\WinSecurity\services.exe <Windows>\WinSecurity\smss.exe <Windows>\WinSecurity\socket1.ifo <Windows>\WinSecurity\socket2.ifo <Windows>\WinSecurity\socket3.ifo
Los archivos con extensión EXE son copias del gusano. Los archivos con extensión IFO son copias encriptadas MIME del gusano para usarlo al generar adjuntos de email.
El mensaje que envía W32/Sober-Z contiene una copia adjunta del gusano en formato ZIP con el nombre reg_pass.zip. El archivo incluido en el archivo ZIP se denomina "File-packed_dataInfo.exe"
Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Sober-Z (detectado como W32/Sober-Gen) desde la versión 3.97.
|
