I-Worm.Sobig.b - aktywny tylko do 31 maja 2003
Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.
Instalacja
Podczas instalacji robak kopiuje się do folderu Windows z nazwą "msccn32.exe" i tworzy w rejestrze systemowym klucze auto-run:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %Folder Windows%\msccn32.exe - HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %Folder Windows%\msccn32.exe
W wyniku błędu w kodzie szkodnik może się kopiować do folderu głównego oraz lokalnego, lecz nie wpływa to na jego procedury rozprzestrzeniające, które aktywowane są wraz z ponownym uruchomieniem komputera.
Rozprzestrzenianie - poczta elektroniczna
W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBXo oraz .WAB zapisanych na dostępnych dyskach lokalnych.
Zainfekowane wiadomości mogą wyglądać następująco:
Od: support@microsoft.com.
Temat:
- Re: My application,
- Re: Movie,
- Cool screensaver,
- Screensaver,
- Re: My details,
- Your password,
- Re: Approved (Ref: 3394-65467),
- Approved (Ref: 38446-263),
- Your details.
Treść: All information is in the attached file.
Nazwa załącznika:
- your_details.pif,
- ref-394755.pif,
- approved.pif,
- password.pif,
- doc_details.pif,
- screen_temp.pif,
- screen_doc.pif,
- movie28.pif,
- application.pif.
Dodatkowo robak tworzy w folderze Windows plik "hnks.ini" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.
Rozprzestrzenianie - sieć lokalna
Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:
- Windows\All Users\Start Menu\Programs\StartUp\ ,
- Documents and Settings\All Users\Start Menu\Programs\Startup\.
Aktualizacja
Robak pobiera i uruchamia pliki z czterech adresów URL zapisanych na stałe w jego kodzie. W ten sposób szkodnik może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).
Informacje dodatkowe
Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne tylko do 31 maja 2003.