Kezdolap  
 
   


W32/Sobig.f@MM

Adatlap

Felfedezés időpontja: 2003.08.18.
Eredet: Ismeretlen
Hossz: kb. 72,568 Bájt
Típus: vírus
Altípus: programféreg
Adatbázis-verzió: 4287
Keresőmotor-verzió: 4.1.60

Leírás módosítva: 2003-08-25 10:00

Előfordulás valószínűsége

Vállalati környezet: Közepes
Egyéni felhasználók: Magas

Tulajdonságok

A W32/Sobig új variánsát a korábbi változatokhoz hasonlóan MSVC nyelven írták. Elektronikus levelezéssel terjed, saját SMTP motorja segítségével. Hálózati megosztásokon keresztül is terjed, bár ezt a tesztek még nem erősítették meg.

Fontos: a vírus "szeméttel" tölti fel az állomány végén lévő szabad helyet, ezért a fájlméret és az ellenőrző összeg változhat.

 

Fertőzés

A vírus a fertőzött gépen a Windows könyvtárba kerül:

C:\WINNT\WINPPR32.EXE

Emellett egy beállításokat tartalmazó állomány is kerül a Windows könyvtárba:

C:\WINNT\WINSTT32.DAT

Az alábbi registry kulcsok hatására a program minden rendszerindításkor betöltődik:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

Terjedés E-mailben

A programféreg saját SMTP-rutinja segítségével küldi tovább magát. A leendő címzetteket a programféreg a következő kiterjesztésű fájlokból gyűjti össze:

  • DBX
  • HLP
  • MHT
  • WAB
  • EML
  • TXT
  • HTM
  • HTML

A programféreg a következő felépítésű üzenetekben érkezhet:

Tárgy

  • Re: Thank you!
  • Re: Details
  • Re: Re: My details
  • Re: Approved
  • Re: Your application
  • Re: Wicked screensaver
  • Re: That movie

    • Csatolt állomány:

    • your_document.pif
    • document_all.pif
    • thank_you.pif
    • your_details.pif
    • details.pif
    • document_9446.pif
    • application.pif
    • wicked_scr.scr
    • movie0045.pif

    Üzenettörzs:

  • See the attached file for details
  • Please see the attached file for details

    • Megjegyzés: A vírus hamisítja a küldő email címét, így nem biztos, hogy a feltüntetett feladó tényleg fertőzött.

    A sikeres fertőzéshez a mellékletet a felhasználónak futtatnia kell.

    A vírus által küldött levelek a következő mezőket tartalmazzák:

    • X-MailScanner: Found to be clean
    • X-Mailer: Microsoft Outlook Express 6.00.2600.0000

    A vírus saját SMTP-rutinjával terjed, amely egy ESMTP szervert igényel a sikeres továbbküldéshez. A vírus megkeresi a cél-domainhez tartozó levelezőszervert (MX lookup), a levelet közvetlenül a cél-domainhez tartozó levelezőszerveren keresztül fogja küldeni. Erre a kliens DNS-forgalmából (53-as UDP port) lehet következtetni.

     

    Kapcsolódás távoli NTP kiszolgálókhoz

    A vírus NTP szerverek címlistáját is tartalmazza. Ezekre a szervekre a 123-as porton próbál kapcsolódni.

    • 200.68.60.246
    • 62.119.40.98
    • 150.254.183.15
    • 132.181.12.13
    • 193.79.237.14
    • 131.188.3.222
    • 131.188.3.220
    • 193.5.216.14
    • 193.67.79.202
    • 133.100.11.8
    • 193.204.114.232
    • 138.96.64.10
    • chronos.cru.fr
    • 212.242.86.186
    • 128.233.3.101
    • 142.3.100.2
    • 200.19.119.69
    • 137.92.140.80
    • 129.132.2.21

    A programféreg a távoli kiszolgálókon elhelyezett fájlok letöltési időpontjának meghatározásához szinkronizálja magát a felsorolt NTP-szerverek valamelyikéhez.

     

    Terjedés leállítása

    A korábbi Sobig variánsokhoz hasonlóan ez a verzió is tartalmaz működésiidő-korlátozást. Ha a rendszeróra dátuma 2003. szeptember 10-e vagy későbbi, a vírus nem terjed tovább.

     

    Letöltési funkció

    A programféreg alkalmas fájlok letöltésére távoli szerverekről. A fertőzött számítógépekről a távoli szerverekre a 8998-as UDP porton indított kérésre egy URL a válasz, ahonnan a programféreg a fájlokat letöltheti. A szerverek listája a következő:

    • 12.158.102.205
    • 12.232.104.221
    • 218.147.164.29
    • 24.197.143.132
    • 24.202.91.43
    • 24.206.75.137
    • 24.210.182.156
    • 24.33.66.38
    • 61.38.187.59
    • 63.250.82.87
    • 65.177.240.194
    • 65.92.186.145
    • 65.92.80.218
    • 65.93.81.59
    • 65.95.193.138
    • 66.131.207.81
    • 67.73.21.6
    • 67.9.241.67
    • 68.38.159.161
    • 68.50.208.96

    A szerverek megkeresésének időpontja magyar idő szerint: 20:00-23:00, péntek vagy vasárnap. A felsorolt IP-címek idő közben elérhetetlenné lettek téve, megakadályozva ezzel a programféreg frissítését.

     

    Tünetek

  • WINPPR32.EXE jelenléte a %WinDir% könyvtárban
  • A fenti registry-bejegyzések
  • Váratlan NTP forgalom távoli szerverek felé
    •

     

    A fertőzés menete

    A programféreg e-mailen és hálózati megosztásokon keresztül terjed. A programféreg frissítésének megakadályozásához tiltsa le a 995-999 UDP és a 8998 UDP portokat.

     

    A programféreg kézi eltávolítása

    1. - Win9x/ME - indítsa újra a számítógéget csökkentett módban (a számítógép bekapcsolása után az F8 billentyű lenyomásával).

    - WinNT/2K/XP - Állítsa le a következő futó folyamatot: WINPPR32.EXE

    2. Törölje a következő állományokat a Windows könyvtárból (C:\Windows vagy C:\Winnt könyvtár)

    • WINPPR32.EXE
    • WINSRR32.DAT

    3. Módosítsa a regisztrációs adatbázist (Registry) az alábbiak szerint:

    Törölje a "TrayX" értéket a következő registy kulcsokból

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

     

    Egyedi eltávolító segédprogram

    A McAfee Stinger segédprogramja már képes a Sobig.f@mm eltávolítására.

     

    Utasítások Sniffer felhasználóknak

    A Sobig.f UDP forgalmának detektálásához (123-as és 8998-as portok) kifejlesztett szűrők az alábbi hivatkozásokról tölthetők le Sniffer Distributed 4.3 és Sniffer Portable 4.7.5 használata esetén.

     

    Egyéb elnevezések

    W32.Sobig.F@MM (Symantec)
    Worm_sobig.f (Trend)
    		  
      A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.