21 sierpnia 2003

I-Worm.Sobig.f - szczegółowy opis robaka

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail oraz za pośrednictwem sieci lokalnych. Ma postać pliku PE EXE o rozmiarze około 70 KB (kompresja TeLock rozmiar po rozpakowaniu około 100 KB) i powstał przy użyciu środowiska programistycznego Microsoft Visual C++.

Robak aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany plik.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą winppr32.exe i tworzy w rejestrze systemowym klucze auto-run:

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    TrayX = %Folder Windows%\winppr32.exe/sinc;
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    TrayX = %Folder Windows%\winppr32.exe/sinc.

Rozprzestrzenianie - poczta elektroniczna

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP. Adresy "ofiar" pobierane są z plików TXT, EML, HTML, HTM, DBX, WAB, MHT oraz HLP zapisanych na dostępnych dyskach lokalnych.

Zainfekowane wiadomości mogą wyglądać następująco:

Od: jeden z adresów znalezionych w książce adresowej lub admin@internet.com.

Temat:

  • Re: That movie,
  • Re: Wicked screensaver,
  • Re: Your application,
  • Re: Approved,
  • Re: Re: My details,
  • Re: Details,
  • Your details,
  • Thank you!,
  • Re: Thank you!

Treść: See the attached file for details.

Nazwa załącznika:

  • movie0045.pif,
  • wicked_scr.scr,
  • application.pif,
  • document_9446.pif,
  • details.pif,
  • your_details.pif,
  • thank_you.pif,
  • document_all.pif,
  • your_document.pif.

Pliki posiadające rozszerzenie ZIP zawierają moduł wykonywalny robaka.

Dodatkowo robak tworzy w folderze Windows plik winstt32.dat i zapisuje w nim wszystkie adresy e-mail znalezione w zainfekowanym komputerze.

Rozprzestrzenianie - sieć lokalna

Robak umieszcza swoje kopie na wszystkich dostępnych zasobach sieciowych.

Aktualizacja

Robak otwiera połączenie z siecią poprzez port 8998 i oczekuje na dane nadsyłane przez hakera. Są to adresy URL, które szkodnik wykorzystuje do pobierania plików stanowiących jego dodatkowe moduły. W ten sposób robak może się uaktualniać, a także uruchamiać na zainfekowanych komputerach dodatkowe aplikacje (przykładowo konie trojańskie).

Informacje dodatkowe

Wszystkie funkcje robaka aktywne są tylko do 10 września 2003.