Kezdolap  
 
   


W32/Sobig@MM

Adatlap

Megjelenés dátuma: 2003.01.09.
Eredete: Ismeretlen
Hossza: 65536 bájt (tElock-tömörítés)
Típusa: Vírus
Altípusa: E-mail programféreg
Szükséges adatbázis: 4242
Szükséges keresőmotor: 4.1.60

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes

Tulajdonságok

A programférget Microsoft Visual C-ben készítette írója. A féreg e-mailen és hálózati megosztásokon keresztül terjed, saját SMTP-rutint használ.

Terjedés email-ben

A kimenő üzenetek felépítése a következő:

Feladó: big@boss.com
Tárgy: a következők valamelyike:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Csatolt fájl: a következők valamelyike, egy 65536 bájt hosszúságú állomány
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

A féreg a következő kiterjesztésű fájlokból gyűjt e-mail címeket:

  • WAB
  • DBX
  • HTM
  • HTML
  • EML
  • TXT

Hálózati terjedés

A programféreg hálózati terjedésekor a nyitott hálózati megosztásokon keresztül a következő könyvtárakba próbálja másolni önmagát:

\WINDOWS\ALL USERS\START MENU\PROGRAMS\STARTUP

vagy

\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP

Tünetek

WINMGM32.EXE (65536 bájt), SNTMLS.DAT és DWN.DAT nevű fájlok a Windows könyvtárban.

A fertőzés menete

Legalább egy esetben az AVERT-hez érkezett minta a programférgen kívül grafikus állományt is tartalmazott. Az ezt előidéző, "multidropper" csomagot MultiDropper-FB-ként azonosítja a 4242-es dat-verzió.

Futtatáskor a programféreg elmenti magát a Windows könyvtárba WINMGM32.EXE néven. Két registry kulcs készül a rendszerindításkor történő futtatáshoz:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"WindowsMGM" = C:\WINDOWS\winmgm32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"WindowsMGM" = C:\WINDOWS\winmgm32.exe

A fertőzött számítógépen található fájlokból nyert e-mail címeket a programféreg a következő fájlba menti el:

%Windows könyvtár%\SNTMLS.DAT

A programféreg egy webszerverről text formátumú állományt tölt le. Jelenleg ez a fájl mindössze a következő hivatkozást tartalmazza:

http://www.doesnotexist.com/blah.txt

Amennyiben a fájl sikeresen letölthető, elmentésre kerül a %Windows könyvtár%\DWN.DAT fájlba.

A vírusleírás készítése óta a fenti URL-t megváltoztatták, jelenleg egy PE-fájlra hivatkozik, amit a programféreg megpróbál letölteni. Ez a fájl BackDoor-AOT néven detektálható a 4242-es adatbázis-verzióval.

A programféreg a következő karaktersorozatot tartalmazza:

Worm.X

Eltávolítási utasítások

A programféreg felderíthető ás ártalmatlanítható a 4242-es adatbázis-verzió használatával.

A W32/SoBig@MM-mel fertőzött fájlok törlendők.

További elnevezések:

I-Worm.Sobig (AVP)
W32.Sobig.A@mm (Symantec)
W32/Sobig (Panda)
W32/Sobig-A (Sophos)
Win32.Sobig (CA)
WORM_SOBIG.A (Trend)
 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.