Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Sobig.e - aktywny do 14 lipca 2003

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 80 KB (kompresja TeLock rozmiar po rozpakowaniu około 130 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "winssk32.exe" i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    SSK Service = %Folder Windows%\winssk32.exe;
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    SSK Service = %Folder Windows%\winssk32.exe.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBX oraz .WAB zapisanych na dostępnych dyskach lokalnych.

Zainfekowane wiadomości mogą wyglądać następująco:

Od: jeden z adresów znalezionych w książce adresowej lub support@yahoo.com.

Temat:

  • "Re: Movie",
  • "Re: Movies",
  • "Re: Submited (Ref: 003746)",
  • "Re: Screensaver",
  • "Re Documents",
  • "Re: Re: Application ref. 003644",
  • "Re: Re: Document",
  • "Your application".

Treść: Please see the attached zip file for details.

Nazwa załącznika:

  • "details.pif",
  • "application.zip",
  • "application.pif",
  • "document.zip",
  • "document.pif",
  • "screensaver.zip",
  • "sky_world.scr",
  • "Movie.zip",
  • "Movie.pif".

Pliki posiadające rozszerzenie ZIP zawierają moduł wykonywalny robaka.

Dodatkowo robak tworzy w folderze Windows plik "msrrf.dat" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Rozprzestrzenianie - sieć lokalna

Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:

  • Windows\All Users\Start Menu\Programs\StartUp\,
  • Documents and Settings\All Users\Start Menu\Programs\Startup\.

Aktualizacja

Robak otwiera połączenie z siecią poprzez porty 995, 996, 997, 998, 999 i oczekuje na dane nadsyłane przez hakera. Są to adresy URL, które szkodnik wykorzystuje do pobierania plików stanowiących jego dodatkowe moduły. W ten sposób robak może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).

Informacje dodatkowe

Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne są tylko do 14 lipca 2003.



 2003-07-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych