|
Alias:
I-Worm.Sobig.gen, W32/Sobig.E@mm, Win32.HLLM.Reteras
Esta variante de Sobig apareció in the wild
el 25 de junio de 2003. Este gusano se difunde a través
de carpetas compartidas en red o como adjunto en un email.
El archivo que contiene el código malicioso es un PE
ejecutable de 86528 bytes comprimido con los compresores de
archivo Aspack y TELock (descomprimido tiene una longitud de
130 Kb) y escrito en Visual C++. La mayoría de las cadenas de
texto del cuerpo del gusano están encriptadas con un
algoritmo complejo. El gusano decodifica sus cadenas bajo
demanda.
Cuando el adjunto infectado se ejecuta por el usuario, el
gusano se copia en el sistema, para ello, copia el archivo
WINSSK32.EXE en la carpeta de Windows y crea entradas de
arranque para este archivo en el Registro del Sistema:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SSK Service" = "%windir%\winssk32.exe
donde %windir% representa la carpeta de Windows. Estas
entradas aseguran que la copia del gusano se ejecute durante
cada sesión de Windows.
Adicionalmente, Sobig.E puede crear el archivo MSRRF.DAT en la
carpeta de Windows para su propio uso y donde guardará las
direcciones encontradas.
Difusión en e-mails
El gusano se difunde vía e-mail. El mensaje infectado se
compone de asuntos cuerpos y adjuntos aleatorios (siendo los más
habituales los siguientes) pero cuerpo siempre fijo:
Asunto:
Re: Movie
o
Re: Application
Mensaje:
Please see the attached zip file for details
Archivo adjunto:
your_details.zip
Otros asuntos posibles son los siguientes:
referer.pif
004448554.pif
re.document.pif
new_document.pif
submited.pif
Screensaver.scr
movie.pif
Applications.pif
Application.pif
Your application
Re: Re: Document
Re: Re: Application ref. 003644
Re: Documents
Re: Screensaver
Re: Submited (Ref: 003746)
Re: Movies
Y, adjuntos ZIP (que incluyen los archivos mencionados entre
paréntesis):
Movie.zip (Movie.pif)
screensaver.zip (sky_world.scr)
document.zip
(document.pif)
application.zip
(application.pif)
El adjunto contiene el archivo del gusano con el nombre
DETAILS.PIF. El hecho de que el gusano emplee por lo general sólo
los 2 asuntos y archivo adjunto antes indicado demuestra un
error en su rutina aleatoria.
Para obtener nuevas direcciones de correo a las que enviarse a
través de su propio mecanismo SMTP, Sobig.E escanea los
archivos con extensiones .WAB, .DBX, .HTM, .HTML, .EML o .TXT
almacenados en el equipo del usuario.
El gusano falsifica el emisor del e-mail ya que en el campo
"Desde:" incluirá una de las direcciones
encontradas en los archivos antes citados.
Difusión a través de redes locales
Sobig.E enumera los recursos de red e intenta localizar
las carpetas de arranque de los equipos remotos:
\Windows\All Users\Start Menu\Programs\StartUp\
\Documents and Settings\All Users\Start Menu\Programs\Startup\
Si encuentra cualquiera de estas carpetas, se copiará allí
con el fin de infectar el equipo en el siguiente arranque.
Rutina backdoor
El gusano tiene la capacidad de descargar y ejecutar archivos
sobre sistemas infectados. Un hacker puede enviar una URL al
gusano (a través de algunos de los puertos utilizados por éste:
995, 996, 997, 998 y 999) desde la cual se descargará y
ejecutará el archivo al que apunta esta dirección, lo que
permitirá al autor del virus actualizar el código vírico ó
cargar troyanos o backdoors sobre el equipo infectado con el
peligro que ello conlleva.
Rutina de desactivación
Al igual que las otras variantes, Sobig.E tiene un periodo de
vida limitado ya que está programado para interrumpir su
proceso de difusión el 14 de julio de 2003.
|
Sobig.E
