Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Sobig.c - tym razem aktywny do 8 czerwca 2003

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 60 KB (kompresja UPX) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "mscvb32.exe" i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    System MScvb = %Folder Windows%\mscvb32.exe;
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    System MScvb = %Folder Windows%\mscvb32.exe
    .

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBX oraz .WAB zapisanych na dostępnych dyskach lokalnych.

Zainfekowane wiadomości mogą wyglądać następująco:

Od: jeden z adresów znalezionych w książce adresowej lub bill@microsoft.com.

Temat:

  • Re: Screensaver,
  • Re: Movie,
  • Re: Submited (004756-3463),
  • Re: 45443-343556B37DB6480EC9657E,
  • Re: Approved,
  • Approved78A85131,
  • Re: Your application,
  • Re: Application.

Treść: Please see the attached file.

Nazwa załącznika:

  • screensaver.scr,
  • movie.pif,
  • submited.pif,
  • 45443.pif,
  • documents.pif,
  • approved.pif,
  • application.pif,
  • document.pif.

Dodatkowo robak tworzy w folderze Windows plik "msddr.dat" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Rozprzestrzenianie - sieć lokalna

Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:

  • Windows\All Users\Start Menu\Programs\StartUp\,
  • Documents and Settings\All Users\Start Menu\Programs\Startup\.

Aktualizacja

Robak pobiera i uruchamia pliki z czterech adresów URL zapisanych na stałe w jego kodzie. W ten sposób szkodnik może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).

Informacje dodatkowe

Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne są tylko do 8 czerwca 2003.



 2003-06-03  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych