w32/sober.s

Imagen biografía
Categoría: Gusanos de e-mail
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/sober.s

w32.sober.w@mm, w32/sober.s@mm, win32.sober.t
tipo: gusano de e-mail
tama?o: 135,968 bytes
origen: internet
destructivo: si en la calle (in the wild): si detecci?n y eliminaci?n the hacker 5.9, registro de virus al 15/11/2005

w32/sober.s@mm , es un gusano que se transmite a trav?s de e-mail utilizando su propio motor smtp. los asuntos son variables y pueden estar en ingles o alem?n . busca direcciones de e-mail en archivos con las siguientes extensiones pmr, .phtm, .stm, .slk, .inbox, .imb, .csv, .bak, .imh, .xhtml, .imm, .imh, .cms, .nws, .vcf, .ctl, .dhtm, .cgi, .pp, .ppt, .msg, .jsp, .oft, .vbs, .uin, .ldb, .abc, .pst, .cfg, .mdw, .mbx, .mdx, .mda, .adp, .nab, .fdb, .vap, .dsp, .ade, .sln, .dsw, .mde, .frm, .bas, .adr, .cls, .ini, .ldif, .log, .mdb, .xml, .wsh, .tbb, .abx, .abd, .adb, .pl, .rtf, .mmf, .doc, .ods, .nch, .xls, .nsf, .txt, .wab, .eml, .hlp, .mht, .nfo, .php, .asp, .shtml, .dbx.
caracter?sticas del mensaje de e-mail:
asunto: ive got your email on my account
cuerpo:
hi,
first, my english is very bad! sorry about this.
ok, ive got an email in my box, but this email is not for me, because, im not the recipient! the recipient are you!
this must be an email-provider error, but i dont know!
i have made a screenshot about this mail and saved then in a zipped jpeg file for you.
ok then,
bye
archivo adjunto: email_photo.zip
--------------------
asunto: ich habe ihre e-mail erhalten
cuerpo:
danke f
sie haben aber ihre mail wahrscheinlich falsch adressiert, naemlich an mich. ich kenne sie aber nicht!
oder ihr provider hat die email falsch weiter geleitet?
um mich zu entlasten, schicke ich ihnen das (!.!) foto wieder zurueck.
archivo adjunto: foto.zip
---------------------
cuando el gusano se ejecuta muestra el siguiente mensaje
packed word data not present
seguidamente el gusano se copia a si mismo con todos sus componentes dentro de:
windows \vvvfdsqq.exe windows \connectionstatus\microsoft\services.exe windows \connectionstatus\microsoft\concon.www system \bbvmwxxf.hml - harmless system \gdfjgthv.cvq - harmless system \langeinf.lin - harmless system \nonrunso.ber - harmless system \rubezahl.rub - harmless system \runstop.rst - harmless nota:
windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
wincheck= windows \connectionstatus\microsoft\services.exe
hkey_current_user\software\microsoft\windows\currentversion\run
_wincheck= windows \connectionstatus\microsoft\services.exe
seguidamente el gusano intentar? parchar el archivo tcpip.sys de los sistemas con windows xp y con sp2, este cambio altera el funcionamiento del protocolo tcp/ip y puede causar problemas de conectividad en la red, dicho archivo se encuentra dentro de las siguientes ubicaciones:
system \drivers\tcpip.sys system \dllcache\tcpip.sys windir \servicepackfiles\i386\tcpip.sys busca la siguiente ruta en el registro de windows
hkey_local_machine\software\microsoft\windows\currentversion\app paths\luall.exe\path
e intentar? eliminar todos los archivos con las siguientes caracter?sticas que encuentre en dicha ubicaci?n:
a*.exe luc*.exe ls*.exe luu*.exe el gusano intentar? conectarse a internet y visualizar? el siguiente mensaje:
liveupdate (symantec)
thanks you for using liveupdate. all of the symantec
products and components are currently up-to-date.
no connection!
finalmente el gusano enviara e-mails en aleman a todas las direcciones que contengan en su nombre alguno de los siguientes textos en el dominio:
gmx. .de .li .ch .at it
1992/2005


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo