19 maja 2003

I-Worm.Sobig.b - aktywny tylko do 31 maja 2003

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 50 KB (kompresja UPX) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "msccn32.exe" i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    System Tray = %Folder Windows%\msccn32.exe
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    System Tray = %Folder Windows%\msccn32.exe

W wyniku błędu w kodzie szkodnik może się kopiować do folderu głównego oraz lokalnego, lecz nie wpływa to na jego procedury rozprzestrzeniające, które aktywowane są wraz z ponownym uruchomieniem komputera.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBXo oraz .WAB zapisanych na dostępnych dyskach lokalnych.

Zainfekowane wiadomości mogą wyglądać następująco:

Od: support@microsoft.com.

Temat:

  • Re: My application,
  • Re: Movie,
  • Cool screensaver,
  • Screensaver,
  • Re: My details,
  • Your password,
  • Re: Approved (Ref: 3394-65467),
  • Approved (Ref: 38446-263),
  • Your details.

Treść: All information is in the attached file.

Nazwa załącznika:

  • your_details.pif,
  • ref-394755.pif,
  • approved.pif,
  • password.pif,
  • doc_details.pif,
  • screen_temp.pif,
  • screen_doc.pif,
  • movie28.pif,
  • application.pif.

Dodatkowo robak tworzy w folderze Windows plik "hnks.ini" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Rozprzestrzenianie - sieć lokalna

Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:

  • Windows\All Users\Start Menu\Programs\StartUp\ ,
  • Documents and Settings\All Users\Start Menu\Programs\Startup\.

Aktualizacja

Robak pobiera i uruchamia pliki z czterech adresów URL zapisanych na stałe w jego kodzie. W ten sposób szkodnik może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).

Informacje dodatkowe

Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne tylko do 31 maja 2003.