20 czerwca 2003

I-Worm.Sobig.d - "zabawa" trwa - tym razem do 2 lipca 2003

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 60 KB (kompresja UPX rozmiar po rozpakowaniu około 120 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "cftrb32.exe" i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    SFtrb Service = %Folder Windows%\cftrb32.exe;
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    SFtrb Service = %Folder Windows%\cftrb32.exe.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBX oraz .WAB zapisanych na dostępnych dyskach lokalnych.

Zainfekowane wiadomości mogą wyglądać następująco:

Od: jeden z adresów znalezionych w książce adresowej lub admin@support.com.

Temat:

  • Re: Application,
  • Your Application,
  • Re: Accepted,
  • Re: Screensaver,
  • Re: Your Application (Ref: 003844),
  • Application Ref: 456003,
  • Re: Movies,
  • Re: App. 00347545-002,
  • Re: Documents.

Treść: See the attached file for details.

Nazwa załącznika:

  • Application.pif,
  • Applications.pif,
  • Accepted.pif,
  • Screensaver.scr,
  • Application844.pif,
  • ref_456.pif,
  • movies.pif,
  • app003475.pif,
  • Document.pif.

Dodatkowo robak tworzy w folderze Windows plik "dftrn32.dat" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Rozprzestrzenianie - sieć lokalna

Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:

  • Windows\All Users\Start Menu\Programs\StartUp\,
  • Documents and Settings\All Users\Start Menu\Programs\Startup\.

Aktualizacja

Robak otwiera połączenie z siecią poprzez porty 995, 996, 997, 998, 999 i oczekuje na dane nadsyłane przez hakera. Są to adresy URL, które szkodnik wykorzystuje do pobierania plików stanowiących jego dodatkowe moduły. W ten sposób robak może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).

Informacje dodatkowe

Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne są tylko do 2 lipca 2003.