a-squared Malware-Info

Name: Worm.Win32.Sober.D

Description:

Síntomas:
- Presencia de la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce
con un valor formado de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32
apuntando a un archivo de la carpeta Windows cuyo nombre está formado también con las palabras de arriba.
- la presencia del archivo mencionado.

Descripción técnica:
El virus llega por correo en el siguiente formato, en inglés on en alemán:

De:
Direcciones de correo falsas, utilizando uno de los nombres:
Info, Center, UpDate, News, Help, Studio, Alert, Patch, Security
y uno de los dominios:
microsoft.com, microsoft.de, microsoft.at, microsoft.ch, microsoft.li
Por ejemplo, una falsa dirección de correo podra ser: Info@microsoft.com

Asunto:
Microsoft Alert: Please Read!
o
Microsoft Alarm: Bitte Lesen!

Cuerpo de texto 1:
New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

Cuerpo de texto 2:
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine VorgSnger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefShrlichen Trojaner!

Fhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schodling zu schtzen!

Adjunto:
Puede ser ZIP o EXE con los siguientes nombres, pueden seguir algunos dígitos:
sys-patch
MS-UD
MS-Security
Security
Patch

Después de ejecutarse, el gusano se copia a si mismo en la carpeta de sistema de Windows con un nombre formado de una combinación de las siguientes palabras:
sys,host,dir,explorer,win,run,log,32,disc,crypt,data,diag,spool,service,smss32

El virus muestra un cuadro de mensaje con el siguiente texto
This patch has been successfully installed.
o
This patch does not need to be installed on this system.

Por ejemplo, si C:\Windows\System es la carpeta de sistema de Windows, el nombre del gusano podra ser:
C:\Windows\System\runspooldir.exe

El gusano crea la siguiente clave del registro para ser ejecutado con cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run o RunOnce
con un valor compuesto de las palabras mencionadas anteriormente y apuntando al ejecutable del virus, copiado en la carpeta de sistema de Windows.

Para recoger direcciones de correo, el virus busca archivos con las siguientes extensiones:
ini, log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml, php, asp, shtml, dbx, wab, tbb, abd, adb, pl

Para enviar e-mails, el gusano emplea dos archivos temporales, que son códigos MIME del ejecutable del gusano o zip::
%SYSTEM%\wintmpx33.dat
%SYSTEM%\temp32x.data

Fuente: BitDefender-es Virus-Info

Additional information might be found here:

Search at Google for Worm Sober D Search at Google for Worm Sober D
Search at Bing for Worm Sober D Search at Bing for Worm Sober D
Search at Yahoo for Worm Sober D Search at Yahoo for Worm Sober D

Removal instructions for Worm Sober D:

To delete this malware infection, please download and install a-squared Anti-Malware. Run a full scan on all drives and move all detected items to the quarantine.

 

Best In Test!

Emsisoft Anti-Malware is the best of 19 tested antivirus programs - Test by MRG - Malware Research Group - June 2009
More independent reviews of anti-malware software