I-Worm.Sobig.f
Alias:
Win32/Sobig.F, Sobig.F, I-Worm.Sobig.gen, W32/Sobig.F@mm
Sobig.f es un gusano que se circula por internet adjunto en mensajes de correo electrónico. El gusano Sobig.f también se propaga por redes locales a través de los recursos compartidos.
El gusano es un archivo Windows PE EXE escrito en Microsoft Visual C++ y comprimido mediante la utilidad TeLock. Su tamaño ronda los 70Kb una vez comprimido (TeLock), mientras que cuando está descomprimido su tamaño es de unos 100 KB.
El virus Sobig.f tan solo se activa cuando se abre el fichero adjunto. Una vez se ha ejecutado, se instala en el sistema y ejecuta sus rutinas para propagarse.
Infección y carga:
Durante la instalación el gusano se copia en el directorio de windows bajo el nombre winppr32.exe y se inserta en el registro del sistema de autoarranque con la clave:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run TrayX = %WindowsDir%\winppr32.exe/sinc
HKLM\Software\Microsoft\Windows\CurrentVersion\Run TrayX = %WindowsDir%\winppr32.exe/sinc
El gusano envía paquetes UDP a direcciones IP aleatorias al puerto 8998 y espera comendos del ordenador principal. Los comandos contienen URLs desde los que Sobig.f descarga y ejecuta archivos. De esta forma el gusano es capaz de actualizarse e instalar otras aplicaciones (Troyanos, por ejemplo).
Todas las rutinas del virus estan activos hasta el 10 de septiembre de 2003.
Propagación vía correo electrónico:
Para conseguir direcciones de correo electrónico, el virus busca archivos con extensiones .TXT, .EML, .HTML, .HTM, .DBX, WAB, MHT y HLP en todos los directorios de todas las unidades locales, escanea buscando correos electrónicos y envia mensajes infectados a las direcciones que encuantra. Para enviar estos correos, el virus utiliza el servidor SMTP especificado en las propiedades del sistema.
Aquí le indicamos algunas variantes del cuerpo del mensaje con el virus Sobig.f:
El campo From (De)field tiene una dirección erronea de correo (found on the infected machine) o admin@internet.com.
Subject (Asunto):
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Message Body:
See the attached file for details
Please see the attached file for details.
Attached file name:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
El gusano también crea el archivo winstt32.dat en el directorio windows y escribe en el las direcciones de correo electrónico que ha encontrado en el ordenador infectado.
Propagación via red local:
El gusano escanea tofos los recursos accesibles de la red (otros ordenadores en la red) y se copia en lso directorios de auto inicio (si existen) de ese recurso (ordenador).
Desinfección:
Actualice su antivirus ejecutando la tarea KAV Updater y a continuación ejecute la tarea escáner con la opción de "preguntar " en caso de detección de virus.
Cuando detecte algún archivo infectado intente desinfectarlo y si esto no es posible o directamente observa claramente que es uno de los archivos creados por el virus, seleccione "borrar", así eliminará cualquier rastro del virus.
Para evitar que le entren virus de este tipo debe instalar las actualizaciones del Internet Explorer y Outlook Express de Microsoft:
http://windowsupdate.microsoft.com
Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
