• Tweet

En las últimas horas se está propagando una nueva variante del gusano Sober, el cual es un gusano que se extiende a través de correo electrónico adjuntando un archivo con formato ZIP el cual infecta el equipo. Algunas firmas antivirus dicen que dicho gusano trata de engañar al usuario con la venta de boletos para la siguiente copa del mundo y adjuntando un archivo con el título de Fifa_Info-Text.zip y de que lleva por subject “Ich habe Ihre E-Mail bekommen!”.

Texto del mensaje:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt. Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss
Attached file:
MailTexte.zip
Email sent to other addresses will have the following characteristics:
Subject line:
Your Password & Account number
Message text:
hi,
i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think. i've copied the full mail text in the Windows text-editor & zipped. ok, cya...
Attached file:
acc_text.zip
The ZIP file will contain an executable file named mail_text-data.txt.pif
The From address line will be faked

Cabe recordar que este gusano puede enviarse en idioma inglés o alemán, lo cual aprovecha la inocencia del usuario y la próxima copa del mundo que se llevará a cabo precisamente en Alemania.

Otras de sus principales características es que al tratar de abrir el archivo .zip simula un error al descomprimir el archivo lo cual es señal de que el gusano se está ejecutando satisfactoriamente.

Copia en el directorio Windows los siguientes archivos: adcmmmmq.hjg, langeinf.lin, nonrunso.ber, seppelmx.smx, xcvfpokd.tqa

Agrega los siguientes valores en el registro para asegurar su ejecución cada vez que inicia el sistema:

" WinStart" = "%Windir%Connection WizardStatusservices.exe" en las llaves:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Desactiva servicios y procesos que contienen cadenas como: gcas, gcip, giantanti, stinger, hijackthis.

Extrae las direcciones de correo electrónico para propagarse por este medio. Sin embargo evita enviarles dicho mensaje a los correos que tengan que ver con las firmas antivirus y alguna cuestión administrativa.

Para determinar el lenguaje en que enviará el correo electrónico el gusano examina el dominio al cual pertenece, para lo cual si la dirección tiene el dominio .AT, .CH, .DE o .LI o contiene el elemento “gmx” se enviará en alemán, de lo contrario en inglés.

Se sugiere que estén alertas de las actualizaciones de su software antivirus y que tengan precaución de los archivos con extensión .ZIP que reciban y abran.

Fuente: UNAM-CERT  LFS/