I-Worm.Sobig.d - "zabawa" trwa - tym razem do 2 lipca 2003
Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.
Instalacja
Podczas instalacji robak kopiuje się do folderu Windows z nazwą "cftrb32.exe" i tworzy w rejestrze systemowym klucze auto-run:
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
SFtrb Service = %Folder Windows%\cftrb32.exe; - HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SFtrb Service = %Folder Windows%\cftrb32.exe.
Rozprzestrzenianie - poczta elektroniczna
W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików .TXT, .EML, .HTML, .HTM, .DBX oraz .WAB zapisanych na dostępnych dyskach lokalnych.
Zainfekowane wiadomości mogą wyglądać następująco:
Od: jeden z adresów znalezionych w książce adresowej lub admin@support.com.
Temat:
- Re: Application,
- Your Application,
- Re: Accepted,
- Re: Screensaver,
- Re: Your Application (Ref: 003844),
- Application Ref: 456003,
- Re: Movies,
- Re: App. 00347545-002,
- Re: Documents.
Treść: See the attached file for details.
Nazwa załącznika:
- Application.pif,
- Applications.pif,
- Accepted.pif,
- Screensaver.scr,
- Application844.pif,
- ref_456.pif,
- movies.pif,
- app003475.pif,
- Document.pif.
Dodatkowo robak tworzy w folderze Windows plik "dftrn32.dat" i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.
Rozprzestrzenianie - sieć lokalna
Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych, w następujących folderach:
- Windows\All Users\Start Menu\Programs\StartUp\,
- Documents and Settings\All Users\Start Menu\Programs\Startup\.
Aktualizacja
Robak otwiera połączenie z siecią poprzez porty 995, 996, 997, 998, 999 i oczekuje na dane nadsyłane przez hakera. Są to adresy URL, które szkodnik wykorzystuje do pobierania plików stanowiących jego dodatkowe moduły. W ten sposób robak może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).
Informacje dodatkowe
Wszystkie funkcje robaka (z wyjątkiem aktualizacji) aktywne są tylko do 2 lipca 2003.