Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Sobig - instaluje backdoora

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz w sieci lokalnej. Ma postać pliku PE EXE o rozmiarze około 64 KB i powstał przy pomocy środowiska programistycznego Microsoft Visual C++. Dodatkową funkcją szkodnika jest pobieranie i instalowanie backdoora.

Zainfekowane wiadomości wyglądają następująco:

Od: big@boss.com

Temat jest wybierany spośród następujących możliwości:

  • Re: Movies
  • Re: Sample
  • Re: Document
  • Re: Here is that sample

Nazwa załącznika jest wybierana spośród następujących możliwości:

  • Movie_0074.mpeg.pif
  • Document003.pif
  • Untitled1.pif
  • Sample.pif

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "WINMGM32.EXE" i tworzy dla tej kopii klucze auto-run w rejestrze systemowym:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    "WindowsMGM" = \winmgm32.exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    "WindowsMGM" = \winmgm32.exe

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak korzysta z domyślnego serwera SMTP. Adresy "ofiar" pobierane są z plików *.WAB, *.DBX, *.HTM, *.HTML, *.EML oraz *.TXT.

Rozprzestrzenianie - sieć lokalna

Szkodnik szuka udostępnionych zasobów sieciowych i podejmuje próbę zapisania swojej kopii o nazwie "WINMGM32.EXE" w następujących folderach:

  • Windows\All Users\Start Menu\Programs\StartUp\
  • Documents and Settings\All Users\Start Menu\Programs\Startup\

Instalowanie backdoora

Robak pobiera ze strony WWW plik tekstowy zawierający adres URL do pliku wykonywalnego (backdoora). Po pobraniu tego pliku szkodnik zapisuje go w folderze Windows pod nazwą "DWN.DAT" i uruchamia.

W kodzie szkodnika można znaleźć następujące teksty:

B.ROOT-SERVERS.NET A.ROOT-SERVERS.NET a+ \ %s big@boss.com [A-Za-z0-9]+[A-Za-z0-9_.-]+@(([A-Za-z0-9\-])+[.])+[A-Za-z]+ *.* x:\ From <%s> "%s" To Subject Date %s %s %c%4.4d H:mm:ss ddd, d MMM yyyy importance Microsoft Outlook Express 6.00.2600.0000 X-Mailer Normal X-MSMail-Priority 3 (Normal) X-Priority ; filename=" attachment inline Content-Disposition: Content-Transfer-Encoding: %s ; name="%s" Content-Type: %s Content Type application/octet-stream --%s --%s-- Content-ID: <%s> Content-Transfer-Encoding: ; charset="%s" text/ Content-Type: -- --%s Content-Type: multipart/alternative; boundary="%s" CSmtpMsgPart123X456_001_%8.8X %s This is a multipart message in MIME format %s: %s Message-ID 1.0 MIME-Version " ; boundary=" mixed alternative related multipart/ CSmtpMsgPart123X456_000_%8.8X Content- Type = =%2.2X -;.,?! Encoding took %dms ... 7bit 8bit quoted-printable base64 SMTP tcp text/plain iso-8859-1 QUIT EHLO %s %s Password: Username: AUTH LOGIN MAIL FROM: <%s> RCPT TO: %s>. DATA http://www.geocities.com/reteras/reteral.txt 0 Hello Attached file: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Re: Movies Re: Sample Re: Document Re: Here is that sample 2003.1.23 Ret code: %d sntmls.dat dwn.dat r Windows\All Users\Start Menu\Programs\StartUp\ Documents and Settings\All Users\Start Menu\Programs\Startup\ $\ @pager.icq.com mail@mail.com Notify pager.icq.com start WindowsMGM SOFTWARE\Microsoft\Windows\CurrentVersion\Run wab dbx htm html eml txt Worm.X winmgm32.exe Worm.X



 2003-01-13  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych